Reuschlaw

Ober­lan­des­ge­richt Dres­den: Ein­wil­li­gung in die Daten­ver­ar­bei­tung bei Rück­nah­me von Datenträgern

Die Anzahl an Pro­duk­ten, die Spei­cher­chips ent­hal­ten, nimmt ste­tig zu. Durch die zuneh­men­de Ent­wick­lung von IoT-Geräten (Inter­net of Things) ist eine Abschwä­chung die­ses Trends nicht zu erwar­ten. Die­se Gerä­te kön­nen per­so­nen­be­zo­ge­ne Daten ent­hal­ten. Die Fra­ge, was mit die­sen Daten im Fall der Gewähr­leis­tung oder Rück­ga­be des Pro­dukts geschieht, hat jetzt das Ober­lan­des­ge­richt (OLG) Dres­den in einem Urteil vom 31.08.2021 (Az. 4 U 324/21) beschäf­tigt.

Der Sach­ver­halt

Der Käu­fer einer Fest­plat­te hat­te die­se nach dem Auf­tre­ten eines Defekts noch inner­halb der drei­jäh­ri­gen Garan­tie­zeit an den Ver­käu­fer zurück­ge­sen­det. Vor der Rück­sen­dung infor­mier­te der Ver­käu­fer ihn per E‑Mail dar­über, dass die Siche­rung von Daten Sache des Kun­den sei. Nach der Ein­sen­dung wur­de die Fest­plat­te zer­stört und dem Käu­fer wur­de eine neue zugesandt.

Der Klä­ger ver­lang­te von dem Beklag­ten Aus­kunft nach Art. 15 DSGVO  dar­über, ob und in wel­chem Umfang Drit­ten Ein­sicht in die auf der Fest­plat­te gespei­cher­ten Daten gewährt wur­de. Dar­über hin­aus nahm er den Beklag­ten dar­auf in Anspruch, es zu unter­las­sen, die auf der Fest­plat­te gespei­cher­ten Daten auf­zu­be­wah­ren, an Drit­te wei­ter­zu­ge­ben oder zu ver­öf­fent­li­chen. Schließ­lich for­der­te er Schadensersatz.

Eck­punk­te der Entscheidung

Der Aus­kunfts­an­spruch war nach Auf­fas­sung des Gerichts bereits durch Erfül­lung erlo­schen. Der Beklag­te hat­te dem Klä­ger vor­pro­zes­su­al mit­ge­teilt, nach der Zer­stö­rung der Fest­plat­te kei­nen Zugriff mehr auf die dar­auf gespei­cher­ten per­so­nen­be­zo­ge­nen Daten des Klä­gers zu haben. Ob die Aus­kunft, wie vom Klä­ger behaup­tet, unvoll­stän­dig war, sei für die Fra­ge nach dem Ein­tritt der Erfül­lung uner­heb­lich. Für die Erfül­lung des Aus­kunfts­an­spruchs sei allein der bekun­de­te Wil­le des Aus­kunfts­schuld­ners aus­schlag­ge­bend, die Aus­kunft voll­stän­dig erteilt zu haben. Für den Unter­las­sungs­an­spruch feh­le es an der Wie­der­ho­lungs­ge­fahr. Schließ­lich sei­en die Daten bereits end­gül­tig vernichtet.

Auf­schluss­reich sind die Erwä­gun­gen zu einem etwa­igen Scha­dens­er­satz­an­spruch aus Art. 82 DSGVO.  Die­ser setzt einen Ver­stoß gegen die Vor­schrif­ten der DSGVO vor­aus. Nach Art. 4 Nr. 2 DSGVO  stellt auch die Löschung oder die Ver­nich­tung von Daten eine Ver­ar­bei­tung dar. Dem­nach han­delt es sich auch bei der hier erfolg­ten phy­si­schen Ver­nich­tung einer Fest­plat­te und dem damit ein­her­ge­hen­den Ver­lust der Daten um eine Daten­ver­ar­bei­tung im Sin­ne der DSGVO. Eine sol­che erfor­dert grund­sätz­lich eine Rechts­grund­la­ge. Das OLG nahm als Rechts­grund­la­ge vor­lie­gend eine Ein­wil­li­gung an.

Nach Auf­fas­sung des Senats lag in der Zurück­sen­dung der defek­ten Fest­plat­te die kon­klu­den­te Erklä­rung einer Ein­wil­li­gung. Dem Käu­fer war vor der Rück­sen­dung per E‑Mail ein­deu­tig mit­ge­teilt wor­den, dass eine Siche­rung der Daten nicht erfol­gen kön­ne. Der Käu­fer hät­te ohne Wei­te­res zum Aus­druck brin­gen kön­nen, dass er die Daten vor­her nicht sichern konn­te und daher in jedem Fall die Rück­sen­dung der defek­ten Fest­plat­te wün­sche. Daher sei nach dem maß­geb­li­chen Emp­fän­ger­ho­ri­zont mit der kom­men­tar­lo­sen Rück­sen­dung auch eine Ein­wil­li­gung in den Daten­ver­lust gegeben.

Die Lösung über die Ein­wil­li­gung wirft gewis­se Pro­ble­me auf. So ist eine Ein­wil­li­gung, wie sich aus Art. 7 Abs. 3 Satz 1 DSGVO ergibt, grund­sätz­lich frei wider­ruf­lich. Dar­über hin­aus muss der Ver­ant­wort­li­che die betrof­fe­ne Per­son nach Art. 13 Abs. 2 lit. c) DSGVO bei Erhe­bung der Daten über das Wider­rufs­recht informieren. 

Frag­lich ist daher, war­um das OLG nicht auf die Erfül­lung eines Ver­trags nach Art. 6 Abs. 1 lit. b) DSGVO abstellt. Die Daten­ver­ar­bei­tung zur Erfül­lung eines Gewähr­leis­tungs­an­spruchs dürf­te grund­sätz­lich zur Erfül­lung eines Ver­trags erfor­der­lich sein. Im kon­kre­ten Fall hat­te das OLG jedoch offen­bar Beden­ken bei der Ein­hal­tung der gesetz­li­chen Vor­ga­ben für All­ge­mei­ne Geschäfts­be­din­gun­gen (AGB). Hier­zu schreibt das OLG in sei­ner Ent­schei­dung: “Ob […] der zwi­schen den Par­tei­en bestehen­de Kauf­ver­trag und die damit ein­her­ge­hen­den ver­trag­li­chen Ver­pflich­tun­gen wirk­sam nach §§ 305 ff. BGB abge­än­dert wur­den, kann im Rah­men des Anspruchs nach Art. 82 DSGVO dahinstehen.”

Unse­re Ein­schät­zung – Rele­vanz des Urteils für Unternehmen

Die Ent­schei­dung zeigt ein­drucks­voll, wel­che neu­en daten­schutz­recht­li­chen Her­aus­for­de­run­gen sich für Unter­neh­men durch die zuneh­men­de Digi­ta­li­sie­rung und Ver­net­zung von Pro­duk­ten erge­ben kön­nen. Ab der Aus­lie­fe­rung kann jeder in einem Pro­dukt ver­bau­te Spei­cher­chip per­so­nen­be­zo­ge­ne Daten ent­hal­ten und im Gewähr­leis­tungs­fall zu einem zusätz­li­chen Pro­blem wer­den. Um Schmer­zens­geld­an­sprü­che von Betrof­fe­nen und damit ver­bun­de­ne Kla­gen zu ver­mei­den, soll­ten Unter­neh­men den Umgang mit per­so­nen­be­zo­ge­nen Daten im Rah­men der Gewähr­leis­tung prü­fen und kla­re Leit­li­ni­en ent­wi­ckeln, um nicht mit einer recht­lich wacke­li­gen kon­klu­den­ten Ein­wil­li­gung ope­rie­ren zu müs­sen. Sinn­voll erscheint das vor­he­ri­ge Tref­fen einer ein­deu­ti­gen Regelung.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.