LG Essen: Ver­stö­ße gegen Mel­de­pflich­ten kön­nen Scha­dens­er­satz­an­sprü­che nach der DSGVO auslösen

Das Land­ge­richt (LG) Essen setzt sich in einem aktu­el­len Urteil vom 23.09.2021 (Az. 6 O 190/21) (PDF) mit Scha­dens­er­satz­an­sprü­chen wegen der Ver­let­zung von Melde- und Benach­rich­ti­gungs­pflich­ten aus der DSGVO aus­ein­an­der. Das Gericht unter­streicht damit für Unter­neh­men die Not­wen­dig­keit von Vor­keh­run­gen und fes­ten Struk­tu­ren, um im Fal­le von Daten­schutz­ver­let­zun­gen die recht­li­chen Ver­pflich­tun­gen frist­ge­recht zu erfül­len. Dar­über hin­aus gibt es Anlass, über daten­schutz­recht­li­che Risi­ken bei der pos­ta­li­schen Ver­sen­dung von Daten­trä­gern nachzudenken.

Sach­ver­halt

Der Klä­ger und sei­ne Ehe­frau frag­ten bei einem Kre­dit­in­sti­tut eine Immo­bi­li­en­fi­nan­zie­rung an. Zu die­sem Zweck war­fen sie einen USB-Stick mit zahl­rei­chen per­sön­li­chen Infor­ma­tio­nen, die dem Nach­weis der eige­nen finan­zi­el­len Leis­tungs­fä­hig­keit die­nen soll­ten, sowie Ausweis- und Steu­er­do­ku­men­te in den Brief­kas­ten der Beklagten.

Nach­dem es nicht zu dem beab­sich­tig­ten Ver­trags­schluss gekom­men war, sen­de­te das Kre­dit­in­sti­tut den USB-Stick per ein­fa­cher Post an den Klä­ger zurück. Der Daten­trä­ger ging jedoch offen­bar auf dem Post­weg ver­lo­ren. Nach­dem das Ehe­paar den Ver­lust des USB-Sticks bemerkt hat­te, trat die Ehe­frau ihre Ansprü­che an den Ehe­mann ab. Die­ser ver­lang­te nun von dem beklag­ten Kre­dit­in­sti­tut Scha­dens­er­satz in Höhe von min­des­tens 30.000 €.

Wesent­li­che Erwä­gun­gen des Gerichts

Zunächst stellt das LG Essen in sei­nem Urteil fest, dass eine Abtre­tung von imma­te­ri­el­len Scha­dens­er­satz­an­sprü­chen aus Art. 82 DSGVO grund­sätz­lich mög­lich ist. Da die Abtret­bar­keit imma­te­ri­el­ler Scha­dens­er­satz­an­sprü­che in Deutsch­land grund­sätz­lich aner­kannt ist und die DSGVO kei­ne abwei­chen­den Rege­lun­gen hier­zu ent­hält, stellt dies kei­ne Über­ra­schung dar. Von grö­ße­rer Bedeu­tung sind hin­ge­gen die Aus­füh­run­gen zur Melde- und Benach­rich­ti­gungs­pflicht aus Art. 33 und Art. 34 DSGVO.

Nach Art. 33 DSGVO hat der Ver­ant­wort­li­che eine Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten unver­züg­lich und mög­lichst bin­nen 72 Stun­den der zustän­di­gen Auf­sichts­be­hör­de zu mel­den. Die erfor­der­li­che Mel­dung war sei­tens der Beklag­ten unter­blie­ben. Inter­es­sant ist, dass nach Auf­fas­sung der Kam­mer bereits ein for­mel­ler Ver­stoß gegen die Mel­de­pflicht einen Scha­dens­er­satz­an­spruch begrün­den kann. Die Fra­ge, ob die Betrof­fe­nen selbst bereits von dem Vor­fall Kennt­nis hat­ten oder nicht, soll dabei nicht ins Gewicht fal­len. Sinn und Zweck der Norm sei nicht nur der indi­vi­du­el­le Schutz der Betrof­fe­nen. Viel­mehr die­ne die Norm auch der Schaf­fung von Anrei­zen zur Ver­hü­tung zukünf­ti­ger Ver­let­zun­gen durch den Ver­ant­wort­li­chen.

Das LG Essen sieht dane­ben auch Art. 34 DSGVO als ver­letzt an. Danach hat der Ver­ant­wort­li­che nicht nur die Auf­sichts­be­hör­den, son­dern auch die Betrof­fe­nen über einen Daten­ver­lust zu infor­mie­ren. Im vor­lie­gen­den Fall hat­te die Beklag­te jedoch erst von den Betrof­fe­nen Kennt­nis über den Ver­lust erlangt. Auch dies sei jedoch uner­heb­lich, ent­schied das LG Essen. Neben der rei­nen Kennt­nis über die Ver­let­zung umfas­se die Benach­rich­ti­gung nach Art. 34 Abs. 2 i.V.m. Art. 33 Abs. 3 lit. b, c, d DSGVO wei­te­re Aspek­te. Dazu gehö­re etwa eine Beschrei­bung der von dem Ver­ant­wort­li­chen ergrif­fe­nen oder vor­ge­schla­ge­nen Maß­nah­men zur Behe­bung der Ver­let­zung des Schut­zes per­so­nen­be­zo­ge­ner Daten. Da eine Benach­rich­ti­gung mit die­sen Infor­ma­tio­nen unter­blie­ben war, sei auch Art. 34 DSGVO ver­letzt.

Gemäß Art 24, 32 DSGVO  hat der Daten­ver­ar­bei­ten­de geeig­ne­te tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men zu tref­fen, um ein dem Risi­ko ange­mes­se­nes Schutz­ni­veau zu gewähr­leis­ten. Als Bei­spiel für eine sol­che Maß­nah­me wird in bei­den Vor­schrif­ten aus­drück­lich die Pseud­ony­mi­sie­rung und Ver­schlüs­se­lung per­so­nen­be­zo­ge­ner Daten genannt. Inso­fern war es alles ande­re als fern­lie­gend, dass sich die Klä­ger­sei­te auch dar­auf berief, in der unver­schlüs­sel­ten Ver­sen­dung des USB-Sticks läge eine Ver­let­zung eben jener Vor­schrif­ten.

Anders sieht dies die zustän­di­ge Kam­mer des LG Essen. Eine irgend­wie gear­te­te Pflicht­ver­let­zung der han­deln­den Stel­len durch die unver­schlüs­sel­te Ver­sen­dung der Doku­men­te sei nicht ersicht­lich. Schließ­lich wür­den sen­si­ble Daten in aus­ge­druck­ter Form, etwa Schrift­sät­ze von Rechts­an­wäl­ten oder Steu­er­be­ra­tern, eben­falls unver­schlüs­selt ver­sen­det. Nichts ande­res kön­ne daher für die Ver­sen­dung von Daten­trä­gern gel­ten.

Die­se Auf­fas­sung erscheint zumin­dest frag­lich. Art. 32 DSGVO sieht einen rela­ti­ven Ansatz vor, bei dem der Auf­wand poten­zi­el­ler Siche­rungs­maß­nah­men und das Risi­ko des Betrof­fe­nen zuein­an­der ins Ver­hält­nis zu set­zen sind. Eine ein­fa­che Ver­schlüs­se­lung von Daten auf einem USB-Stick stellt einen sehr gerin­gen Auf­wand dar. Dem­ge­gen­über ist eine Ver­schlüs­se­lung aus­ge­druck­ter Doku­men­te nicht ohne Wei­te­res mög­lich. Daher erscheint auch eine abwei­chen­de Auf­fas­sung gut ver­tret­bar.

Dass die Kam­mer trotz der fest­ge­stell­ten Ver­let­zung der Mel­de­pflich­ten dem Klä­ger den Scha­dens­er­satz­an­spruch nicht zuer­kann­te, lag dar­an, dass ein kon­kre­ter imma­te­ri­el­ler Scha­den von der Klä­ger­sei­te nicht dar­ge­tan sei. Das LG Essen zieht inso­weit die von der Recht­spre­chung anhand von § 253 BGB ent­wi­ckel­ten Grund­sät­ze her­an. Ein blo­ßes „Unwohl­sein“ wegen des Ver­lusts des USB-Sticks ohne die Gel­tend­ma­chung wei­te­rer Beein­träch­ti­gun­gen sei daher als ersatz­fä­hi­ger Scha­den nicht aus­rei­chend. Dazu, wie die­se Argu­men­ta­ti­on mit dem Anwen­dungs­vor­rang des Euro­pa­rechts vor natio­na­lem Recht zu ver­ein­ba­ren sein soll, fin­den sich im Urteil aller­dings kei­ne Ausführungen.

Fazit und Emp­feh­lung für Unternehmen

Auch wenn das LG Essen den Scha­dens­er­satz­an­spruch am Ende schei­tern lässt, stellt es fest, dass bereits eine for­mel­le Ver­let­zung von Melde- und Benach­rich­ti­gungs­pflich­ten dem Grun­de nach einen Anspruch begrün­den kann. Um sol­chen Ansprü­chen vor­zu­beu­gen, soll­ten Unter­neh­men über geeig­ne­te Pro­zes­se ver­fü­gen, damit bei etwa­igen Zwi­schen­fäl­len die bestehen­den recht­li­chen Pflich­ten im Rah­men des Legal Inci­dent Respon­se zeit­nah umge­setzt wer­den kön­nen.

Dar­über hin­aus ver­tritt das Gericht zwar die Ansicht, die DSGVO stün­de dem unver­schlüs­sel­ten Ver­sen­den von Daten­trä­gern auf dem Post­weg nicht ent­ge­gen. Ob sich die­se Auf­fas­sung jedoch dau­er­haft durch­set­zen wird, erscheint vor dem Hin­ter­grund der kla­ren For­mu­lie­run­gen des Art. 32 DSGVO durch­aus frag­lich. Im Zwei­fels­fall emp­feh­len wir daher, zumin­dest Daten­trä­ger mit sen­si­blen per­so­nen­be­zo­ge­nen Daten vor dem Ver­sen­den zu ver­schlüs­seln oder die Mög­lich­keit einer Ein­wil­li­gung in den unver­schlüs­sel­ten Ver­sand näher zu prüfen.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.