Sensible Daten dürfen als USB-Stick per Post versendet werden

von

Wie das Landgericht (LG) Essen mit Urteil vom 23.09.2021 entschied, sind Schadensersatzansprüche auf Grundlage der Datenschutzgrundverordnung (DSGVO) abtretbar (Az. 6 O 190/21). Zudem entschied das nordrhein-westfälische Gericht, dass unverschlüsselte USB-Sticks, die per Post versendet werden, keinen Verstoß gegen die DSGVO darstellen.

Foto: sdecoret/AdobeFotostock

Unterlagen zur Immobilienfinanzierung

Der Kläger und seine Ehefrau traten mit dem Beklagten in Kontakt, um sich bezüglich der Finanzierung einer Immobilie zu beraten. Zu diesem Anlass übersendete das Ehepaar dem Beklagten zahlreiche Dokumente mit personenbezogenen Daten, wie etwa Kopien der Personalausweise, Einkommensnachweise und Steuerunterlagen. Zur Übermittlung dieser Unterlagen speicherten sie unter anderem die Dateien auf einem unverschlüsselten USB-Stick und warfen diesen in den Briefkasten des Beklagten. Als ein Vertrag über die Finanzierung zwischen den Parteien nicht zustande kam, sandte der Beklagte diesen USB-Stick per Post an das Ehepaar zurück. Beim Transport mit der Post ging das Speichermedium jedoch verloren. Nunmehr macht der Kläger einen Anspruch auf Schadensersatz in Höhe von 30 000 EUR wegen mangelnder Sicherheit bei der Verarbeitung der personenbezogenen Daten aus Artt. 24, 25 Abs. 1, 32 DSGVO geltend. Dazu ließ er sich den Anspruch von seiner Ehefrau abtreten. Darüberhinaus verlangt der Kläger die Erstattung der entstandenen Rechtsanwaltskosten.

 

Einfacher Brief ist für den Versand angemessen

Das Landgericht Essen wies die Klage ab. Das Gericht begründete dies damit, dass es keinen Verstoß des Beklagten gegen Artt. 24, 25 Abs. 1, 32 DSGVO feststellen könne. Zum einen sei der USB-Stick nicht in den Geschäftsräumen des Beklagten verloren gegangen, sondern auf dem Postweg. Zum anderen enthalte der USB-Stick zwar persönliche genauso wie wirtschaftliche Informationen des Klägers und seiner Ehefrau, dennoch spreche dies nicht dagegen das Speichergerät per einfachen Brief versenden zu dürfen, erklärte das Gericht. Dies deshalb, weil auch ausgedruckte Unterlagen, wie Steuerbescheide, anwaltliche Schriftsätze oder Schreiben von Steuerberatern per Post unverschlüsselt versandt würden. Wie das LG Essen ausführte, sei es für das Gericht nicht ersichtlich, warum für sensible Informationen gespeichert auf einem USB-Stick etwas anderes gelten sollte, als für ausgedruckte Papiere. Ein USB-Stick sei weder leicht zu beschädigen, noch bestünde die Gefahr, dass ein USB-Stick die Verpackung beschädige, weshalb die Versendung in einem gepolsterten Umschlag, per versicherten Versand oder eine persönliche Überbringung nicht erforderlich gewesen sei, führte das LG Essen aus. Zudem habe der Beklagte nicht an dem zuverlässigen Versand der Deutschen Post zweifeln müssen. Der geltend gemachte Anspruch wegen eines Verstoßes gegen Artt. 24, 25 Abs. 1, 32 DSGVO besteht demnach nach Einschätzung des LG Essen nicht.

 

Beklagter hätte Aufsichtsbehörde informieren müssen

Allerdings muss bei Verletzung des Schutzes von personenbezogenen Daten gemäß Art. 33 Abs. 1 DSGVO die Aufsichtsbehörde unverzüglich über den Vorfall in Kenntnis gesetzt werden. Daneben sind auch die betroffenen Personen über die Verletzung und die getroffenen Maßnahmen, um der Verletzung Abhilfe zu schaffen, zu informieren (Art. 34 Abs. 2 DSGVO). Diesen Pflichten sei der Beklagte aber nicht nachgekommen, sodass dem Grunde nach ein Schadensersatzanspruch wegen Pflichtverletzung begründet sei, führte das LG Essen aus.

 

Schaden ist nicht hinreichend konkret

Letztlich sei ein Anspruch aber dennoch zu verneinen, weil jedenfalls der entstandene Schaden nicht hinreichend konkret von dem Kläger dargelegt worden sei. Ein immaterieller Schaden ist nach der Rechtsprechung des Landgerichtes Hamburg dann entstanden, wenn die Datenschutzverletzung zu "einer konkreten, nicht nur unbedeutenden oder empfundenen Persönlichkeitsverletzung" der betroffenen Person geführt hat (Urteil vom 04.09.2020, Az. 324S 9/19). Im vorliegenden Fall habe der Kläger aber lediglich den Eindruck des Kontrollverlustes und einem "unguten Gefühl" vorgetragen, welches mithin keinen immateriellen Schaden begründen kann, schloss das LG Essen. Nur die Möglichkeit oder theoretische Gefahr eines Missbrauchs der verloren gegangen Daten, ist nach Auffassung des nordrhein-westfälischen Landgerichtes dagegen nicht ausreichend, um einen Schaden feststellen zu können. Immerhin sei es gleich wahrscheinlich, dass der Datenträger beim Transport schlicht beschädigt oder zerstört worden sei.

 

DSGVO-Schadensersatzansprüche sind abtretbar

Gegen eine Abtretung von Schadensersatzansprüchen auf Grundlage der DSGVO sah das LG Essen keine Bedenken. Grundsätzlich sei jede Forderung abtretbar. Weder unterlägen die Ansprüche einem Abtretungsverbot im Sinne des Bürgerlichen Gesetzbuches (BGB), die Forderung sei nicht gepfändet, die Abtretung nicht durch Parteivereinbarung ausgeschlossen worden, noch erfordere vorliegend die Abtretung eine wesentliche Inhaltsänderung der Leistung, erklärte das Gericht. Die Abtretung sei im vorliegenden Sachverhalt auch hinreichend bestimmt und damit wirksam.

Unser Beratungsangebot für Sie:

    Für Webseitenbetreiber, Online-Händler und andere Unternehmen sind die neuen Bestimmungen der Datenschutz-Grundverordnung eine große Herausforderung. Lassen Sie sich bei der Umsetzung unterstützen und profitieren auch Sie von unseren Erfahrungswerten. Wir beraten bundesweit.

  • Alle wichtigen Änderungen zur DSGVO.
  • Vermeiden Sie Abmahnungen und Bußgelder.
  • Wir prüfen Ihr Online-Angebot und sichern Ihr Unternehmen gegen Abmahnungen ab.
  • Profitieren Sie von unserem Webseiten-Audit.