Das Landgericht (LG) Essen setzt sich in einem aktuellen Urteil vom 23.09.2021 (Az. 6 O 190/21) (PDF) mit Schadensersatzansprüchen wegen der Verletzung von Melde- und Benachrichtigungspflichten aus der DSGVO auseinander. Das Gericht unterstreicht damit für Unternehmen die Notwendigkeit von Vorkehrungen und festen Strukturen, um im Falle von Datenschutzverletzungen die rechtlichen Verpflichtungen fristgerecht zu erfüllen. Darüber hinaus gibt es Anlass, über datenschutzrechtliche Risiken bei der postalischen Versendung von Datenträgern nachzudenken.
Sachverhalt
Der Kläger und seine Ehefrau fragten bei einem Kreditinstitut eine Immobilienfinanzierung an. Zu diesem Zweck warfen sie einen USB-Stick mit zahlreichen persönlichen Informationen, die dem Nachweis der eigenen finanziellen Leistungsfähigkeit dienen sollten, sowie Ausweis- und Steuerdokumente in den Briefkasten der Beklagten.
Nachdem es nicht zu dem beabsichtigten Vertragsschluss gekommen war, sendete das Kreditinstitut den USB-Stick per einfacher Post an den Kläger zurück. Der Datenträger ging jedoch offenbar auf dem Postweg verloren. Nachdem das Ehepaar den Verlust des USB-Sticks bemerkt hatte, trat die Ehefrau ihre Ansprüche an den Ehemann ab. Dieser verlangte nun von dem beklagten Kreditinstitut Schadensersatz in Höhe von mindestens 30.000 €.
Wesentliche Erwägungen des Gerichts
Zunächst stellt das LG Essen in seinem Urteil fest, dass eine Abtretung von immateriellen Schadensersatzansprüchen aus Art. 82 DSGVO grundsätzlich möglich ist. Da die Abtretbarkeit immaterieller Schadensersatzansprüche in Deutschland grundsätzlich anerkannt ist und die DSGVO keine abweichenden Regelungen hierzu enthält, stellt dies keine Überraschung dar. Von größerer Bedeutung sind hingegen die Ausführungen zur Melde- und Benachrichtigungspflicht aus Art. 33 und Art. 34 DSGVO.
Nach Art. 33 DSGVO hat der Verantwortliche eine Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden der zuständigen Aufsichtsbehörde zu melden. Die erforderliche Meldung war seitens der Beklagten unterblieben. Interessant ist, dass nach Auffassung der Kammer bereits ein formeller Verstoß gegen die Meldepflicht einen Schadensersatzanspruch begründen kann. Die Frage, ob die Betroffenen selbst bereits von dem Vorfall Kenntnis hatten oder nicht, soll dabei nicht ins Gewicht fallen. Sinn und Zweck der Norm sei nicht nur der individuelle Schutz der Betroffenen. Vielmehr diene die Norm auch der Schaffung von Anreizen zur Verhütung zukünftiger Verletzungen durch den Verantwortlichen.
Das LG Essen sieht daneben auch Art. 34 DSGVO als verletzt an. Danach hat der Verantwortliche nicht nur die Aufsichtsbehörden, sondern auch die Betroffenen über einen Datenverlust zu informieren. Im vorliegenden Fall hatte die Beklagte jedoch erst von den Betroffenen Kenntnis über den Verlust erlangt. Auch dies sei jedoch unerheblich, entschied das LG Essen. Neben der reinen Kenntnis über die Verletzung umfasse die Benachrichtigung nach Art. 34 Abs. 2 i.V.m. Art. 33 Abs. 3 lit. b, c, d DSGVO weitere Aspekte. Dazu gehöre etwa eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten. Da eine Benachrichtigung mit diesen Informationen unterblieben war, sei auch Art. 34 DSGVO verletzt.
Gemäß Art 24, 32 DSGVO hat der Datenverarbeitende geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Als Beispiel für eine solche Maßnahme wird in beiden Vorschriften ausdrücklich die Pseudonymisierung und Verschlüsselung personenbezogener Daten genannt. Insofern war es alles andere als fernliegend, dass sich die Klägerseite auch darauf berief, in der unverschlüsselten Versendung des USB-Sticks läge eine Verletzung eben jener Vorschriften.
Anders sieht dies die zuständige Kammer des LG Essen. Eine irgendwie geartete Pflichtverletzung der handelnden Stellen durch die unverschlüsselte Versendung der Dokumente sei nicht ersichtlich. Schließlich würden sensible Daten in ausgedruckter Form, etwa Schriftsätze von Rechtsanwälten oder Steuerberatern, ebenfalls unverschlüsselt versendet. Nichts anderes könne daher für die Versendung von Datenträgern gelten.
Diese Auffassung erscheint zumindest fraglich. Art. 32 DSGVO sieht einen relativen Ansatz vor, bei dem der Aufwand potenzieller Sicherungsmaßnahmen und das Risiko des Betroffenen zueinander ins Verhältnis zu setzen sind. Eine einfache Verschlüsselung von Daten auf einem USB-Stick stellt einen sehr geringen Aufwand dar. Demgegenüber ist eine Verschlüsselung ausgedruckter Dokumente nicht ohne Weiteres möglich. Daher erscheint auch eine abweichende Auffassung gut vertretbar.
Dass die Kammer trotz der festgestellten Verletzung der Meldepflichten dem Kläger den Schadensersatzanspruch nicht zuerkannte, lag daran, dass ein konkreter immaterieller Schaden von der Klägerseite nicht dargetan sei. Das LG Essen zieht insoweit die von der Rechtsprechung anhand von § 253 BGB entwickelten Grundsätze heran. Ein bloßes „Unwohlsein“ wegen des Verlusts des USB-Sticks ohne die Geltendmachung weiterer Beeinträchtigungen sei daher als ersatzfähiger Schaden nicht ausreichend. Dazu, wie diese Argumentation mit dem Anwendungsvorrang des Europarechts vor nationalem Recht zu vereinbaren sein soll, finden sich im Urteil allerdings keine Ausführungen.
Fazit und Empfehlung für Unternehmen
Auch wenn das LG Essen den Schadensersatzanspruch am Ende scheitern lässt, stellt es fest, dass bereits eine formelle Verletzung von Melde- und Benachrichtigungspflichten dem Grunde nach einen Anspruch begründen kann. Um solchen Ansprüchen vorzubeugen, sollten Unternehmen über geeignete Prozesse verfügen, damit bei etwaigen Zwischenfällen die bestehenden rechtlichen Pflichten im Rahmen des Legal Incident Response zeitnah umgesetzt werden können.
Darüber hinaus vertritt das Gericht zwar die Ansicht, die DSGVO stünde dem unverschlüsselten Versenden von Datenträgern auf dem Postweg nicht entgegen. Ob sich diese Auffassung jedoch dauerhaft durchsetzen wird, erscheint vor dem Hintergrund der klaren Formulierungen des Art. 32 DSGVO durchaus fraglich. Im Zweifelsfall empfehlen wir daher, zumindest Datenträger mit sensiblen personenbezogenen Daten vor dem Versenden zu verschlüsseln oder die Möglichkeit einer Einwilligung in den unverschlüsselten Versand näher zu prüfen.