Schadensersatzanspruch

Nicht Meldung einer „Datenpanne“ kann einen Schadensersatzanspruch begründen!

Das Landgericht Essen hat sich im Rahmen einer aktuellen Entscheidung vom 23. September 2021 zum Aktenzeichen  6 O 190/21 mit der Frage beschäftigt, inwieweit ein Verstoß gegen Art. 33 DSGVO und die damit einhergehende Nichtmeldung einer Verletzung des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO) sowie zugleich der Verstoß nach Art. 34 DSGVO in Bezug auf die Mitteilung hinsichtlich der Verletzung an dem betroffenen, Schadensersatzansprüche der Betroffenen begründen kann.

Schadensersatz i.S.d. Art. 82 DSGVO

Der Kläger, als Betroffener verlangte von der Beklagten Schadensersatz in Höhe von mindestens 30.000 € aufgrund eines immateriellen Schaden im Sinne des Art. 82 DSGVO sowie aus abgetretenem Recht.

Der Kläger versuchte gemeinsam mit seiner Ehefrau, welche beide zusammen als Betroffener im Rahmen der Verletzung zu betrachten sind, über das beklagte Kreditinstitut, eine Immobilienfinanzierung zu erreichen. Die Betroffenen stellten dem in Kreditinstitut eine Vielzahl an Unterlagen und Nachweise in Bezug auf die finanzielle Leistungsfähigkeit per USB-Stick zur Verfügung. Auf diesem Stick waren zugleich Ausweise und Steuerdokumente der Betroffenen vorhanden.

Im Nachgang kam es nicht zu einem Vertragsschluss und die Beklagte nahm ein Rückversand des USB-Stick per einfacher Post an die Betroffenen vor. Nach Angaben der Betroffenen sei der USB Stick auf dem Postweg verloren gegangen, was der Beklagten telefonisch mitgeteilt wurde. Entsprechende Nachforschungen bei der Deutschen Post durch die Beklagte blieben erfolglos.

Der Kläger wandte sich daraufhin mit anwaltlichem Schreiben an die Beklagte und verlangte Schadensersatz in Höhe von 25.000 € für sich und seine Ehefrau auf Grundlage des Art. 82 DSGVO sowie den Ersatz der angefallenen Rechtsanwaltskosten von dem Kreditinstitut. Eine Zahlung wurde seitens der Beklagten abgelehnt.

Klage aufgrund einer Verletzung des Schutzes personenbezogener Daten

Im Nachgang trat die Ehefrau dem Kläger gegenüber ihre vermeintlichen Ansprüche aus Art. 82 DSGVO ab, Die Abtretung wurde von diesem angenommen. Weiterhin behauptet der Kläger, dass das Vorgehen in Bezug auf die Versendung der Unterlagen per USB-Stick auf ausdrücklichen Vorschlag der Sachbearbeiterin des Kreditinstitutes erfolgte und eine andere, gegebenenfalls sicherere Übertragungsmöglichkeit, nicht angeboten wurde. Auf dem Rückversand soll es nach Angaben des Klägers augenscheinlich zu einem Verlust des USB Stick gekommen sein, da seine Ehefrau lediglich einen leeren Briefumschlag, der seitlich einen Riss aufwies, erhalten habe.

Nach Auffassung des Klägers verstoße ein Versand eines USB-Stick mit sensibel personenbezogene Daten per einfacher Post gegen Art. 24, 25 Abs. 1, 32 DSGVO und den darin gesetzlich normierten Anforderungen in Bezug auf Sicherheit und Vertraulichkeit von Datenverarbeitungen. Die Beklagte habe bei dem Versand keine datenschutzkonformen Prozesse eingehalten, welche in der Regel in einem Datenschutzmanagementsystems entsprechend verankert sein müssten. Entsprechende Prozesse müssen z.B. vorsehen, dass der Betroffene gegebenenfalls den USB-Stick persönlich in der Filiale abzuholen habe bzw. nach Rücksprache mit dem Betroffenen der Stick gelöscht oder zumindest verschlüsselt versandt werden müsse.

Schließlich macht der Kläger geltend, nicht entsprechend Art. 34 Abs. 2, 33 Abs. 3 lit. b – d) DSGVO informiert worden zu sein. Unter anderem sei ihm unstreitig wahrscheinliche Folgen der Verletzung des Schutzes personenbezogener Daten durch die Beklagte nicht mitgeteilt worden. Zugleich war keine Information zu entnehmen, ob der Vorfall der Datenschutzbehörde im Sinne des Art. 33 DSGVO gemeldet bzw. eine Notwendigkeit einer solchen Meldung geprüft wurde.

Verantwortlichkeit des Klägers nach Ansicht der Beklagten

Die Beklagte entgegnete unter anderem, dass dem Betroffenen auch jederzeit andere Möglichkeiten der Zurverfügungstellung bzw. Übertragungswege zur Verfügung gestanden hätten und der Kläger selbst für eine Verschlüsselung Sorge zu tragen habe, wenn er es für erforderlich gehalten hätte. Da dies durch den Kläger selbst nicht erfolgte habe er nach Ansicht der Beklagten bereits zum Ausdruck gebracht, dass die darauf befindlichen Information entweder keine hohe Bedeutung beigemessen werden können oder aber er billigend in Kauf nimmt, dass unberechtigte Dritte die Daten zur Kenntnis nehmen können. Auch sei die Beklagte nach ihrer Ansicht mit Blick auf § 303a StGB nicht berechtigt gewesen, eine entsprechende Verschlüsselung des Stick eigenständig vorzunehmen.

Negative Auswirkungen auf Seiten der Betroffenen die sich kausal auf dem Verstoß und der Verletzung des Schutzes personenbezogene Daten beruhen, werden von der Beklagten bestritten. Einen entsprechenden Schaden hat der Kläger auch nicht dargelegt.

Abtretung des immateriellen Schadensersatzanspruch unwirksam

Auch sei nach Auffassung der Beklagten den Abtretungsvertrag mit der Ehefrau unwirksam, da sich bei einem immateriellen Schadensersatzanspruch um ein höchstpersönlichen Anspruch handelt denn nicht abgetreten werden kann. Auch die Abtretung selbst ohne eine entsprechende Gegenleistung lässt den Anschein erhalten stehen, dass die betroffene Ehefrau diesen Anspruch Selbstbewertung bedeutungslos halte.

Keine Anwendung der DSGVO

Schließlich ist die Beklagte der Ansicht, dass der Anwendung brächte DSGVO sich nicht auf den hier vorliegenden Sachverhalt erstrecke, da für diese Anwendung eine automatisierte Verarbeitung personenbezogene Daten erfolgen muss. Der streitgegenständliche Vorgang betreffe aber einen physischen Gegenstand. Auch beständen keine Informationspflichten im Sinne des Artikels 33, 34 DSGVO da das Kreditinstitut erst durch die Betroffenen selbst von dem vermeintlichen Datenverlust informiert wurde.

Entscheidung des Gerichtes

Gemäß Art. 82 DSGVO steht jedem Betroffenen, der aufgrund eines Verstoßes gegen die DSGVO ein materieller oder materieller Schaden entstanden ist ein Anspruch auf Schadensersatz gegen den Verantwortlichen zu. Zudem ist der Kläger auch in Bezug auf die Ansprüche der Ehefrau aktivlegitimiert. Ebenfalls liegt ein Datenschutz Verstoß auf Seiten der Verantwortlichen vor, aufgrund der nicht erfolgten Mitteilung an die Datenschutzbehörde im Sinne des Artikels 33 DSGVO.

Die Ansicht der Beklagten, dass die Abtretung eines immateriellen Schadensersatzanspruchs unwirksam sei, folgt das Gericht nicht. Grundsätzlich sei jede Forderung abtretbar insbesondere auch Schmerzensgeldansprüche. Die Abtretung im Rahmen des Abtretungsvertrages ist wirksam und folge zudem dem Bestimmtheitsgrundsatz.

Verstoß gegen Informationspflichten

Weiterhin sei der Verantwortlichen, so das Gericht, ein Datenschutzverstoß vorzuwerfen der sich aus der Nichtanwendung des Art. 33 DSGVO ergibt. Die Beklagte hat es unterlassen entsprechend des Art. 33 innerhalb der vorgesehenen Frist von 72 Stunden nach Kenntniserlangung, die Datenschutzbehörde in Bezug auf die Verletzung des Schutzes personenbezogene Daten zu informieren. Die Erforderlichkeit dieser Meldung ergibt sich aus Art. 33 Abs. 3 DSGVO und dies ebenso unabhängig vom Umstand, dass die Betroffenen von dieser Datenschutzverletzungen bereits Kenntnis erlangt haben. Auch habe die Beklagte die Informationspflichten des Art. 34 DSGVO nicht vollständig erfüllt und die in Art. 33 Abs. 3 lit. b – d) DSGVO genannten Information, die gemäß Art. 34 DSGVO auch gegenüber den Betroffenen zu erbringen sind, unterlassen hat.

Letztlich habe aber der Kläger nicht substantiell vorgetragen, inwieweit ihm bzw. seine Ehefrau ein konkreter immaterieller Schaden entstanden ist. Allein die Verletzung des Datenschutzrechtes begründet für sich allein nach Ansicht des LG Essen keinen Schadensersatzanspruch für den Betroffenen. Die Verletzungshandlung, die hier vorliegt, muss in jedem Fall zu einen konkreten und nicht nur unbedeutende Verletzung führen.

Fazit

Einen Schadensersatzanspruch des Betroffenen lehnt das Gericht hier ab, insbesondere da dieser nicht ausreichend vorgetragen habe, worin ein konkreter Schaden bestand. Zugleich stellt das Gericht aber fest, dass eine Datenschutzverletzungen und ein Verstoß gegen die Melde- und Informationspflichten aus Art. 33 und 34 DSGVO bereits grundsätzlich derartige Schadensersatzansprüche begründen können.

Weiterhin sieht das Gericht in der Versendung von unverschlüsselt Datenträgern kein Verstoß gegen die DSGVO. Dies ist nach hiesiger Ansicht kaum haltbar und diese Meinung wird sich sehr wahrscheinlich nicht durchsetzen. Die klaren Formulierungen in der DSGVO unter anderem auch in Art. 32 DSGVO, hinsichtlich der Sicherheitsvorkehrungen, lassen per se nur den Schluss zu, dass Datenträger bei einem normalen Versand mit personenbezogenen Daten zu verschlüsseln sind. Insbesondere wenn es sich bei diesen personenbezogene Daten und sensible Daten im Sinne des Art. 9 DSGVO handelt. Eine Verschlüsselung eines USB-Stick vor dem versandt werden geeignete technische Maßnahmen und zugleich stellt dies keinen hohen Aufwand dar. Letztlich erfüllt eine Verschlüsselung die Vorgaben nach Art. 32 Abs. 1 lit. a) DSGVO.

Verantwortlichen ist folglich anzuraten, entsprechende Prozesse in ihrem Datenschutzmanagementsystem vorzuhalten, die zum einen eine rechtzeitige und fristwahrende Meldung an die Datenschutzbehörden nach Art. 33 DSGVO ermöglichen bzw. ebenso bei Eintritt eines schweren Risikos für den Betroffenen auch eine Erfüllung der Informationspflichten gegenüber eben diesen vorsehen. Aber auch Prozesse die den Versand von personenbezogene Daten beinhalten, sollten vorgehalten werden. Nach unserer Einschätzung ist es notwendig gemäß Art. 32 DSGVO Datenträger zu verschlüsseln insbesondere wenn diese sensible Daten enthalten.

Entsprechende Prozesse sollten sie gemeinsam mit ihrem Datenschutzbeauftragten entwerfen und dafür Sorge tragen, dass ihre Mitarbeiter sich an diese Prozesse halten. Letztlich sei noch mal darauf verwiesen, dass die sogenannten Datenpanne im Sinne von Art. 33 DSGVO beim Verantwortlichen auch zu dokumentieren sind, sofern es sich nur um ein geringes Risiko und folglich nicht um eine meldepflichtige Datenpanne handelt.

So erreichen Sie uns

Adresse
Aachener Straße 75
50931 Köln
©LR Datenschutz GmbH