Die Anzahl an Produkten, die Speicherchips enthalten, nimmt stetig zu. Durch die zunehmende Entwicklung von IoT-Geräten (Internet of Things) ist eine Abschwächung dieses Trends nicht zu erwarten. Diese Geräte können personenbezogene Daten enthalten. Die Frage, was mit diesen Daten im Fall der Gewährleistung oder Rückgabe des Produkts geschieht, hat jetzt das Oberlandesgericht (OLG) Dresden in einem Urteil vom 31.08.2021 (Az. 4 U 324/21) beschäftigt.
Der Sachverhalt
Der Käufer einer Festplatte hatte diese nach dem Auftreten eines Defekts noch innerhalb der dreijährigen Garantiezeit an den Verkäufer zurückgesendet. Vor der Rücksendung informierte der Verkäufer ihn per E‑Mail darüber, dass die Sicherung von Daten Sache des Kunden sei. Nach der Einsendung wurde die Festplatte zerstört und dem Käufer wurde eine neue zugesandt.
Der Kläger verlangte von dem Beklagten Auskunft nach Art. 15 DSGVO darüber, ob und in welchem Umfang Dritten Einsicht in die auf der Festplatte gespeicherten Daten gewährt wurde. Darüber hinaus nahm er den Beklagten darauf in Anspruch, es zu unterlassen, die auf der Festplatte gespeicherten Daten aufzubewahren, an Dritte weiterzugeben oder zu veröffentlichen. Schließlich forderte er Schadensersatz.
Eckpunkte der Entscheidung
Der Auskunftsanspruch war nach Auffassung des Gerichts bereits durch Erfüllung erloschen. Der Beklagte hatte dem Kläger vorprozessual mitgeteilt, nach der Zerstörung der Festplatte keinen Zugriff mehr auf die darauf gespeicherten personenbezogenen Daten des Klägers zu haben. Ob die Auskunft, wie vom Kläger behauptet, unvollständig war, sei für die Frage nach dem Eintritt der Erfüllung unerheblich. Für die Erfüllung des Auskunftsanspruchs sei allein der bekundete Wille des Auskunftsschuldners ausschlaggebend, die Auskunft vollständig erteilt zu haben. Für den Unterlassungsanspruch fehle es an der Wiederholungsgefahr. Schließlich seien die Daten bereits endgültig vernichtet.
Aufschlussreich sind die Erwägungen zu einem etwaigen Schadensersatzanspruch aus Art. 82 DSGVO. Dieser setzt einen Verstoß gegen die Vorschriften der DSGVO voraus. Nach Art. 4 Nr. 2 DSGVO stellt auch die Löschung oder die Vernichtung von Daten eine Verarbeitung dar. Demnach handelt es sich auch bei der hier erfolgten physischen Vernichtung einer Festplatte und dem damit einhergehenden Verlust der Daten um eine Datenverarbeitung im Sinne der DSGVO. Eine solche erfordert grundsätzlich eine Rechtsgrundlage. Das OLG nahm als Rechtsgrundlage vorliegend eine Einwilligung an.
Nach Auffassung des Senats lag in der Zurücksendung der defekten Festplatte die konkludente Erklärung einer Einwilligung. Dem Käufer war vor der Rücksendung per E‑Mail eindeutig mitgeteilt worden, dass eine Sicherung der Daten nicht erfolgen könne. Der Käufer hätte ohne Weiteres zum Ausdruck bringen können, dass er die Daten vorher nicht sichern konnte und daher in jedem Fall die Rücksendung der defekten Festplatte wünsche. Daher sei nach dem maßgeblichen Empfängerhorizont mit der kommentarlosen Rücksendung auch eine Einwilligung in den Datenverlust gegeben.
Die Lösung über die Einwilligung wirft gewisse Probleme auf. So ist eine Einwilligung, wie sich aus Art. 7 Abs. 3 Satz 1 DSGVO ergibt, grundsätzlich frei widerruflich. Darüber hinaus muss der Verantwortliche die betroffene Person nach Art. 13 Abs. 2 lit. c) DSGVO bei Erhebung der Daten über das Widerrufsrecht informieren.
Fraglich ist daher, warum das OLG nicht auf die Erfüllung eines Vertrags nach Art. 6 Abs. 1 lit. b) DSGVO abstellt. Die Datenverarbeitung zur Erfüllung eines Gewährleistungsanspruchs dürfte grundsätzlich zur Erfüllung eines Vertrags erforderlich sein. Im konkreten Fall hatte das OLG jedoch offenbar Bedenken bei der Einhaltung der gesetzlichen Vorgaben für Allgemeine Geschäftsbedingungen (AGB). Hierzu schreibt das OLG in seiner Entscheidung: “Ob […] der zwischen den Parteien bestehende Kaufvertrag und die damit einhergehenden vertraglichen Verpflichtungen wirksam nach §§ 305 ff. BGB abgeändert wurden, kann im Rahmen des Anspruchs nach Art. 82 DSGVO dahinstehen.”
Unsere Einschätzung – Relevanz des Urteils für Unternehmen
Die Entscheidung zeigt eindrucksvoll, welche neuen datenschutzrechtlichen Herausforderungen sich für Unternehmen durch die zunehmende Digitalisierung und Vernetzung von Produkten ergeben können. Ab der Auslieferung kann jeder in einem Produkt verbaute Speicherchip personenbezogene Daten enthalten und im Gewährleistungsfall zu einem zusätzlichen Problem werden. Um Schmerzensgeldansprüche von Betroffenen und damit verbundene Klagen zu vermeiden, sollten Unternehmen den Umgang mit personenbezogenen Daten im Rahmen der Gewährleistung prüfen und klare Leitlinien entwickeln, um nicht mit einer rechtlich wackeligen konkludenten Einwilligung operieren zu müssen. Sinnvoll erscheint das vorherige Treffen einer eindeutigen Regelung.
zurück