Wann liegt eine konkludente Einwilligung im Datenschutz vor?

Urteil

Nicht selten kommt es vor, dass keine ausformulierte Äußerung zu einem Sachverhalt vorliegt und der Verantwortliche eine mögliche Einwilligung nicht schwarz auf weiß vorliegen hat. Das OLG Dresden beschäftigte sich mit der Frage, wann man aus dem Verhalten des Betroffenen auf eine Einwilligung (konkludente Einwilligung) schließen kann und welche Anforderungen daran zu knüpfen sind.

Auskünfte und Einwilligungen

Auskunftsansprüche und Einwilligungen sind immer wieder Thema. So haben wir uns auch in unseren letzten beiden Beiträgen mit Auskunftsansprüchen beschäftigt. Ob es sich um einen unentgeltlichen Auskunftsanspruch beim Zwangsverwalter, um Gründe, ein Auskunftsverlangen abzulehnen, oder um das Recht auf unentgeltliche Kopie handelt – der Auskunftsanspruch hat verschiedenste datenschutzrechtliche Facetten, welche die Datenschutzwelt, Betroffene und auch immer wieder die Gerichte beschäftigen. So auch das OLG Dresden: In seinem Urteil vom 31.08.2021 (Az.: 4 U 324/21) beschäftigte sich das OLG insbesondere mit den Grenzen des Auskunftsanspruchs und der Möglichkeit einer konkludenten Einwilligung i. S. d. Art. 6 Abs. 1 S. 1 lit. a DSGVO.

Eine defekte Festplatte und der Datenschutz

Wie kam es überhaupt zu der Entscheidung des OLG? Die streitenden Parteien schlossen einen Kaufvertrag über einen Laptop mit Garantie. Dieser Laptop erlitt einen Defekt an der Festplatte, so dass der Kläger seinen Garantieanspruch geltend machte. Er sandte den Laptop an den Verkäufer zurück. Der Verkäufer wies im Rahmen des Gewährleistungsprozess den Kläger darauf hin, dass er selbst keine Datensicherung vornehmen könne. Eine Rückmeldung des Klägers hierzu gab es nicht. Mit Rücksendung erhielt der Kläger schließlich den Laptop mit einer neuen Festplatte, auf der die ursprünglich gespeicherten personenbezogenen Daten nicht mehr vorhanden waren. Der Kläger verlangte nun Auskunft darüber, ob und welche Daten auf der Festplatte Dritten offengelegt worden sind. Weiter begehrte er Schadensersatz nach Art. 82 DSGVO.

Wann ist ein Auskunftsanspruch erfüllt?

Grundsätzlich hat der Verantwortliche dem Betroffenen nach Art. 15 DSGVO Auskunft darüber zu erteilen, ob dessen personenbezogene Daten verarbeitet werden. Dem OLG zufolge beschränkt sich in diesem Fall die Auskunftspflicht darauf, dem Betroffenen mitzuteilen, dass keine Daten mehr vorliegen, da die Beklagte keinen Zugriff auf die Daten mehr habe. Daher seien etwaige Auskunftspflichten nach Art. 15 DSGVO gemäß § 362 BGB erfüllt. Das Gericht verweist diesbezüglich auf die Ausführungen des BGH (Urteil vom 3.9.2020 – III ZR 136/18):

„Wie der Bundesgerichtshof zu Art. 15 DSGVO bereits entschieden hat, ist ein Auskunftsanspruch erfüllt, wenn die Angaben nach dem erklärten Willen des Schuldners die Auskunft im geschuldeten Gesamtumfang darstellen. Wird die Auskunft in dieser Form erteilt, steht ihre etwaige inhaltliche Unrichtigkeit einer Erfüllung nicht entgegen. Der Verdacht, dass die erteilte Auskunft unvollständig oder unrichtig ist, kann einen Anspruch auf Auskunft in weitergehendem Umfang nicht begründen. Wesentlich für die Erfüllung des Auskunftsanspruchs ist allein die – gegebenenfalls konkludente – Erklärung des Auskunftsschuldners, dass die Auskunft vollständig ist.“

Da im vorliegenden Sachverhalt eindeutig sei, dass die Beklagte nicht mehr auf die Festplatte zugreifen könne, sei eine weitergehende Auskunft nicht erforderlich. Eine etwaige Unvollständigkeit der Auskunft stehe einer Erfüllung daher nicht entgegen.

Kein Schadensersatz wegen konkludenter Einwilligung

Trotz alledem könnte dem Kläger ein Anspruch auf Schadensersatz nach Art. 82 DSGVO wegen der verlorenen personenbezogenen Daten zustehen, die sich auf der Festplatte befunden haben sollen. Das Gericht lehnt einen solchen jedoch ebenfalls ab.

Zwar läge in dem geschilderten Vorgang eine Verletzung des Grundrechts auf informationelle Selbstbestimmung vor. Der aus Art. 1, 2 Abs. 1 GG hergeleitete Anspruch auf eine immaterielle Geldentschädigung liege aber nicht schon bei jeder Verletzung des allgemeinen Persönlichkeitsrechts, erst recht nicht bei jeder Vertragsverletzung, vor. Er setze vielmehr einen schwerwiegenden Eingriff in das Allgemeine Persönlichkeitsrecht voraus, dessen Beeinträchtigung nicht in anderer Weise befriedigend aufgefangen werden könne.

Vorliegend scheidet ein Anspruch nach Art. 82 Abs. 1 DSGVO jedoch bereits deshalb aus, weil gar kein Verstoß gegen die DSGVO vorgelegen habe. Das Gericht führt dazu aus:

„Vorliegend hat der Kläger aber konkludent seine Einwilligung, in die mit dem Austausch der Festplatte einhergehende Datenlöschung erteilt. Unstreitig hat er die Rücksendung nach Erhalt und in Kenntnis der E-Mail der Beklagte vom 30.3.2020 (K5) vorgenommen, in der ausdrücklich darauf hingewiesen wird, dass es vorkommen kann, dass „im Zuge der Reparatur die Festplatte gelöscht oder getauscht werden muss.“. In der Rücksendung der Festplatte lag angesichts dessen nach dem objektiven Empfängerhorizont die Zustimmung dazu, die eingeräumte Garantie entweder durch Reparatur oder Austausch unter gleichzeitigem Datenverlust vorzunehmen, zumal in diesem Kontext ebenfalls darauf hingewiesen wurde, dass die Beklagte Datensicherung und Datenrettung nicht anbietet und jeder Kunde „für die Sicherheit der Daten selbst verantwortlich“ sei.“

Die Zulässigkeit einer konkludenten Einwilligung ließe sich unter anderem auch aus Erwägungsgrund 32 der DSGVO herleiten. Danach bedarf es lediglich einer eindeutig bestätigenden Handlung, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung einverstanden ist. Das OLG führt dazu aus, dass an die Unmissverständlichkeit gerade bei Massengeschäften wie der Abwicklung von Gewährleistungsansprüchen im Internet keine überzogenen Anforderungen gestellt werden dürften, die im Ergebnis doch wieder auf eine ausdrückliche Einwilligung hinausliefen.

In dem konkreten Fall hätte es der Kläger in Kenntnis des Vorgehens der Beklagten in der Hand gehabt, den Erklärungsgehalt, welcher in der Rücksendung des Laptops lag, zu präzisieren. Eine solche Präzisierung ist nicht erfolgt, so dass die Beklagte davon ausgehen konnte, dass der Kläger in die Vernichtung der Festplatte im Rahmen des Gewährleistungsprozesses eingewilligt hat.

Ein wenig mehr Rechtssicherheit

Die Entscheidung ist eine runde Sache und bietet einen weiteren Anknüpfungspunkt, in welchen Fällen von einer konkludenten Einwilligung ausgegangen werden kann bzw. welche Umstände erforderlich sind, um von einer solchen auszugehen. Es bleibt weiter spannend, wie sich die Rechtsprechung in diesem Bereich entwickelt. Gerade im Massengeschäft ist die mit einer gefestigten Rechtsprechung einhergehende Rechtssicherheit von fundamentaler Bedeutung.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.