Verstoß: Fehlende Datensicherheit

Beschreibung

Der Kläger hatte einen gebrauchten Laptop gekauft, erste persönliche Daten darauf gespeichert und dann aufgrund eines Mangels den Laptop eingeschickt und einen neuen erhalten. Als dieser Laptop wiederaufbereitet an einen Dritten veräußert wurde, waren nicht alle Daten gelöscht.
Aktenzeichen

AG Hildesheim, Urteil vom 05.10.2020 – 43 C 145/19
Kategorie(n)

Sonstige Probleme
Betrag

800 €

Ähnliche Urteile

AG Düsseldorf, Urteil vom 17.08.2023 - 51 C 206/23
Ähnliche Urteile

LG Bonn, Urteil vom 07.06.2023 - 13 O 126/22
Ähnliche Urteile

LG Essen, Urteil vom 02.06.2022 - 1 O 272/21
Ähnliche Urteile

OLG Hamm, Beschluss vom 19.12.2022 – 11 W 69/22
Ähnliche Urteile

LG Stuttgart, Urteil vom 26. Januar 2023 – 53 O 95/22
Ähnliche Urteile

LG Paderborn, Urteil vom 13.12.2022 - 2 O 212/22
Ähnliche Urteile

LG Paderborn, Urteil vom 19.12.2022 - 3 O 99/22
Ähnliche Urteile

LG Darmstadt, Anerkenntnisurteil vom 13.07.2022 - 7 O 53/21
Ähnliche Urteile

LG Meiningen, Urteil vom 23.12.2020 – 3 O 363/20
Ähnliche Urteile

ArbG Berlin Teilurt. v. 15.6.2022 – 55 Ca 456/21

Tenor

1. Die Beklagte wird verurteilt, an den Kläger ein Schmerzensgeld in Höhe von 800,- € nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 05.12.2019 zu zahlen.

2. Die Beklagte wird weiter verurteilt, an den Kläger 147,56 € nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 05.12.2019 zu zahlen.

3. Im Übrigen wird die Klage abgewiesen.

4. Die Kosten des Rechtsstreits haben der Kläger zu 80% und die Beklagte zu 20% zu tragen.

5. Das Urteil ist vorläufig vollstreckbar. Die Parteien können die Vollstreckung durch Sicherheitsleistung in Höhe von 110% des aus dem Urteil vollstreckbaren Betrages abwenden, wenn nicht die jeweils vollstreckende Partei vor der Vollstreckung Sicherheit in Höhe von 110% des jeweils zu vollstreckenden Betrages leistet.

Tatbestand

Der Kläger erwarb von der Beklagten am 30.12.2018 einen Desktop PC des Herstellers HP Pavilion 690-0509ng. Der PC, der zwei Festplatten hatte, wurde dem Kläger am 08.01.2019 geliefert.

Der Kläger nahm den Computer in Betrieb und speicherte bereits kurz nach der Einrichtung des Betriebssystems private Daten auf einer der beiden Festplatten ab.

Am 19.01.19 reklamierte der Kläger, dass der PC sich nicht mehr starten lasse. Er erklärte einen „Widerruf“ und verlangte den der Beklagten die Lieferung eines mangelfreien Computers.

Infolge des online-Widerrufs wurde dem Kläger per E-Mail eine automatisch generierte unpersönliche Eingangsbestätigung zugesendet. In dieser E-Mail war folgender Passus enthalten

„… Weiterhin möchten wir Sie darauf hinweisen, dass bei Rückgabe von Geräten mit Speichermedien, der Urzustand wieder herzustellen ist. Die Löschung aufgespielter, vertraulicher und personenbezogener Daten liegt in ihrer Verantwortung“.

Der Kläger übersandte den PC sodann der Beklagten. Die auf der Festplatte abgespeicherten Daten löschte er nicht.

Vor dem Rückversand durch den Kläger wurde diesem durch die Beklagte folgender Hinweistext per E-Mail übermittelt:

„Im Rahmen der Überprüfung bzw. Nachbesserung kann es zur Löschung der Daten auf dem Artikel kommen. Für einen Datenverlust übernehmen wir keine Haftung, es unterliegt vielmehr allein ihrer Verantwortung, für eine Datensicherung zu sorgen. Bitte beachten Sie, dass sie verantwortlich sind, das Gerät zurückgesetzt und ohne Passwörter zu übergeben oder uns alle erforderlichen Passwörter mitzuteilen.“

Die Beklagte kam der gewünschten Neulieferung nach dem Retoureingang am 23.01.2019 sodann nach und übersandte ein modellgleiches Gerät.

Nach Rückerhalt des PCs führte die Beklagte diesen der hausinternen Wiederaufbereitung zu.

Die Wiederaufbereitung dient dazu, gebrauchte und an die Beklagte retournierte Geräte wieder in einen verkaufsfähigen Zustand zu versetzen. Im Rahmen dieses Prozesses überprüfen Mitarbeiter der Beklagten zunächst die Seriennummern der Geräte. Im weiteren Verlauf des Bearbeitungsprozesses wird das Gerät auf weitere (auf den Laufwerken gegebenenfalls vergessene) Datenträger und Partitionen sowie eine eventuelle Speicheraufrüstung überprüft. Sodann wird ein Werksimage aufgespielt. Daten, die auf den Geräten noch vorhanden sind, werden gelöscht. Zuletzt wird das Gerät optisch in einen verkaufsfähigen Zustand versetzt.

Der von dem Kläger retournierte PC wurde nach dem Durchlaufen des eben beschriebenen Wiederaufbereitungsprozesses am 27.03.2019 an den Zeugen … weiterveräußert. Hierbei wurde von den Mitarbeitern der Beklagten übersehen, dass auf einer der beiden Festplatten noch Daten des Klägers vorhanden waren. Diese Daten wurden vor der Weiterveräußerung demgemäß nicht gelöscht.

Der Zeuge … fand die (für ihn) fremden Daten bei der Einrichtung des PCs vor und kontaktierte den Kläger. Im Einvernehmen mit dem Kläger formatierte er sodann die Festplatte.

Am 29.03.2019 erreicht die Beklagte eine E-Mail des Klägers, in der dieser darüber informierte, er sei von dem – ihm fremden – Zeugen … kontaktiert worden. Die Beklagte kontaktierte daraufhin ebenfalls den Zeugen …

Der Zeuge … schrieb per E-Mail vom 01.04.2019 an die Beklagte:

„ich bedauer sehr, dass sich einen Computer samt fremder Daten erhalten habe. Allerdings habe ich – aus Datenschutzgründen – bereits die entsprechende Festplatte formatiert. Ob die andere Festplatte (inkl. der Windows-Partion) auch Fremddaten enthält, kann ich schwer einschätzen. Eine Formatierung war (wegen aktivem Windows) nicht ohne weiteres durchführbar.“

Auf weitere Nachfrage, welche Daten auf dem PC gewesen seien, gab der Zeuge an, er habe sich die Daten nicht genauer angesehen, habe jedoch zufällig Telefonnummern, Namen und Adressen entdeckt.

Der Zeuge … übersandte den PC daraufhin wieder der Beklagten. Am 10.04.2019 ging der PC im Lager ein und wurde von den Mitarbeitern der Beklagten wieder untersucht. Daten konnten nicht vorgefunden werden, da die entsprechende Festplatte von dem Zeugen zuvor formatiert wurde.

Der Kläger korrespondierte sodann mit dem Datenschutzbeauftragten der Beklagten. Dieser führte aus, dass zurückgegebene Geräte einem Wiederherstellungsprozess unterzogen werden würden. Durch diesen Prozess würden alle auf einer Festplatte noch vorhandenen Daten unwiderruflich gelöscht werden. Hinsichtlich des PCs des Klägers habe man allerdings bei dem Prozess übersehen, dass eine zweite Festplatte installiert gewesen sei. Diese sei nicht behandelt worden. Der PC sei an den Zeugen … ohne ordnungsgemäße Wiederherstellung veräußert worden.

Der Kläger forderte die Beklagte sodann mit anwaltlichem Schreiben vom 18.04.2019 erfolglos zur Zahlung einer Entschädigung auf.

Mit der am 04.12.2019 erhobenen Klage verfolgt der Kläger sein Begehren weiter.

Er behauptet, der PC habe sich kurz nach dem Aufspielen der Daten nicht mehr starten lassen. Es sei ihm daher nicht möglich gewesen, seine Daten zu löschen.

Der Kläger beantragt,

1. die Beklagte zu verurteilen, an ihn Schadensersatz und Schmerzensgeld in Höhe eines durch das Gericht bestimmten Betrages, der jedoch 4.000,- € nicht unterschreiten soll, nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz aus dem zuerkannten Betrag seit Rechtshängigkeit zu zahlen.

2. die Beklagte zu verurteilen, den Verzugsschaden gemäß § 280, 286 ff. BGB in Höhe von 413,64 € zuzüglich Zinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz seit Rechtshängigkeit zu zahlen.

Beklagte beantragt,

die Klage abzuweisen.

Sie meint, sie habe nicht gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen. Der Kläger sei als Einsender selbst für die zuverlässige Vernichtung der Daten verantwortlich gewesen. Demnach hätte der Käufer vor der Rücksendung seine Daten löschen müssen. Ein Schaden sei dem Kläger zudem nicht entstanden.

Wegen der weiteren Einzelheiten des Parteivorbringens wird auf die gewechselten Schriftsätze nebst Anlagen Bezug genommen.

Das Gericht hat Beweis erhoben durch Vernehmung des Zeugen … Wegen des Ergebnisses der Beweisaufnahme wird auf die Sitzungsniederschrift vom 24.08.2020 (Bl. 100 ff. d.A.) verwiesen.

Entscheidungsgründe

Die Klage hat in dem erkannten Umfang Erfolg.

Dem Kläger steht gegen die Beklagte ein Anspruch auf Zahlung eines Schmerzensgeldes nach Art. 82 Abs. 1 und 2 DSGVO in Verbindung mit § 253 Abs. 1 BGB in Höhe von 800,- € zu.

Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen. Dies gilt dann nicht, wenn der Verantwortliche nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, vgl. Art. 82 Abs. 3 DSGVO.

Die Beklagte hat vorliegend gegen die DSGVO verstoßen, da sie den von dem Kläger eingeschickten PC ohne dessen Einwilligung an den Zeugen … veräußert und damit die auf dem PC befindlichen Daten einem Dritten zugänglich gemacht hat. Dies stellt eine nicht rechtmäßige Verarbeitung (Art. 4 Nr. 2 DSGVO) von Daten im Sinne des Art. 6 Abs. 1 Satz 1 a) DSGVO dar.

Die Beklagte war für die Datenverarbeitung verantwortlich im Sinne des Art. 4 Nr. 7 DSGVO, Sie nahm den streitgegenständlichen PC nach der Rücksendung durch den Kläger bestimmungsgemäß in Empfang und führte diesen der hausinternen Wiederaufbereitung zu. Im Zuge dessen sollten unter anderem verbliebende Datenreste auf dem PC gelöscht werden. Während dieses Verfahrens hatte allein die Beklagte Zugriff auf den PC und die darauf vorhandenen Daten.

Die Beklagte konnte sich durch allgemeine Hinweise darauf, dass bei der Rückgabe von Geräten mit Speichermedien der Urzustand wieder herzustellen sei und die Löschung aufgespielter, vertraulicher und personenbezogener Daten in der Verantwortung des Käufers bzw. Einsenders liege, ihrer Verantwortung für eine rechtmäßige Datenverarbeitung nach der DSGVO nicht entheben. Die Verlagerung für die Verantwortung mit dem Umgang von Daten käme in dem vorliegenden Fall einem pauschalen Haftungsausschluss gleich. Ein präventiver Haftungsausschluss widerspricht jedoch dem Schutzzweck der DSGVO (vgl. Paal, MMR 2020, 14, 18 – beckonline).

Die Beklagte ist auch nicht nach Art. 82 Abs. 3 DSGVO von der Haftung befreit. Denn dies wäre nur dann der Fall, wenn der Beklagten auch nicht die geringste Fahrlässigkeit vorzuwerfen wäre, etwa dann, wenn der Schaden ausschließlich auf ein Verhalten des Klägers oder auf höhere Gewalt zurückzuführen ist (vgl. Paal, aaO., 17 – beckonline). Dies ist augenscheinlich nicht der Fall, da die Beklagte selbst vorbringt, die im Rahmen der Wiederaufbereitung unzureichend durchgeführte Datenlöschung beruhe auf einem menschlichen Versehen und der verantwortliche Mitarbeiter sei zur verstärkten Sorgsamkeit gemahnt worden.

Die unrechtmäßige Datenverarbeitung durch die Klägerin führte dazu, dass die Daten des Klägers einem Dritten – dem Zeugen … – zugänglich gemacht wurden.

Nach der durchgeführten Beweisaufnahme ist das Gericht auch davon überzeugt, dass dem Kläger durch die damit einhergehende Bloßstellung ein immaterieller Schaden entstanden ist.

Das Gericht berücksichtigt hierbei, dass der Begriff des immateriellen Schadens im Zusammenhang mit Verletzung der DSGVO weit auszulegen ist, um dem europäischen Recht (effet utile) und den Zielen der DSGVO zur Wirkung zu verhelfen (vgl. Erwägungsgründe Nr. 146 Satz 3 und 6 der DSGVO; Dickmann, r+s 2018, 345, 353).

Der Zeuge … bekundete, er habe bei der Beklagten einen PC erworben. Bei Inbetriebnahme dieses PCs habe er sich gewundert, dass er nichts habe installieren müssen. Sodann sei ihm aufgefallen, dass auf der Festplatte des PCs sehr viele Daten vorhanden gewesen seien. Es habe sich um mehrere Gigabyte gehandelt. Ein großer Teil der Festplatte sei belegt gewesen. Er habe sich dann für einen Zeitraum von maximal 1 Minute durch die Festplatte geklickt. Anhand der Dateibezeichnungen habe erkennen können, dass viele Fotos abgespeichert gewesen seien. Er habe eine Datei angeklickt. Es habe sich – nach nicht protokollierter Angabe des Zeugen – um die Außenaufnahme eines Wohnhauses gehandelt. Er habe sodann eine weitere Datei angeklickt. Dabei habe es sich um die Rechnung einer Autowerkstatt gehandelt. Die Kontaktdaten des Klägers habe er dieser Autorechnung entnommen. Auf weitere Nachfrage konnte der Zeuge noch sagen, dass wohl auch Steuererklärungen abgespeichert gewesen seien. Die Steuererklärungen seien minutiös aufgelistet gewesen. Dies habe der Zeuge allerdings nur anhand der Dateinamen gesehen. Die Steuererklärungen selbst habe er nicht angeklickt und demnach auch nicht eingesehen. Auch habe er aus Datenschutzgründen von einer weiteren Durchsicht der Festplatte Abstand genommen. Er habe dann kurz überlegt, wie er verfahren solle. Sodann habe er gleich den Kläger kontaktiert. Mit diesem habe er das weitere Vorgehen besprochen. Es sei besprochen worden, ob er (der Zeuge) den PC oder die Festplatte an den Kläger zurückschicken oder diese formatieren soll. Im Einvernehmen mit dem Kläger habe er die Festplatte sodann nach bestem Wissen und Gewissen formatiert. Kurz darauf habe sich dann die Beklagte bei ihm (dem Zeugen) gemeldet und um Rücksendung des PCs gebeten. Dem sei er nachgekommen.

Die Angaben des Zeugen waren glaubhaft und widerspruchsfrei. Der Zeuge räumte Erinnerungslücken – insbesondere bezüglich des genauen Datenumfangs – ein. Für das Gericht ergab sich kein Anhaltspunkt, um an der Glaubwürdigkeit des Zeugen zu zweifeln.

Den Angaben des Zeugen folgend, ist das Gericht davon überzeugt, dass sich auf dem PC eine nicht unerhebliche Anzahl von Daten befunden haben. Im Einzelnen handelte es sich dabei jedenfalls um Fotos und Steuererklärungen. Die genaue Anzahl der Dateien konnte im Rahmen der Beweisaufnahme nicht mehr festgestellt werden.

Dem Beweisantritt des Klägers, eine Sicherungsfestplatte einzusehen, um den genauen Datenumfang festzustellen, war nicht nachzukommen, da sich aus dem Vorhandensein von Daten auf der Sicherungsfestplatte nicht ergibt, dass diese Daten von dem Kläger auch auf den streitgegenständlichen PC überspielt wurden. Auch wäre nicht erwiesen, dass diese Daten zum Zeitpunkt der Weitergabe des streitgegenständlichen PCs auf diesem noch vorhanden waren.

Bezüglich des Umfangs der Daten ergeben sich für den darlegungs- und beweisbelasteten Kläger auch keine Beweiserleichterungen. Durch die Absprache mit dem Zeugen …, die Daten auf der Festplatte des PCs zu formatieren, erschwerte der Kläger seine Beweismöglichkeiten selbst.

Das Gericht hält ein Schmerzensgeld in der erkannten Höhe für ausreichend aber auch angemessen, um den immateriellen Schaden des Klägers aufzuwiegen. Das Gericht berücksichtigt hierbei die Ausgleichs- und Genugtuungsfunktion des Schmerzensgeldes.

In die Abwägung bezüglich der Höhe des Schmerzensgeldes hat das Gericht namentlich eingestellt, dass immaterielle Schadensersatzansprüche im vorliegenden Fall einen abschreckenden Charakter haben und dazu dienen sollen, der DSGVO zu einer effektiven Geltung zu verhelfen. Daneben war auf die Art, die Schwere und die Dauer des Verstoßes, den Grad des Verschuldens, die Maßnahmen zur Minderung bzw. Verhinderung des Schadens, frühere einschlägige Verstöße der Beklagten und den Umfang der geleisteten Aufklärungsarbeit der Beklagten abzustellen.

Dem Zeugen … wurden Daten in einem nicht unerheblichen Umfang zugänglich gemacht. Gleichwohl geht das Gericht nach der durchgeführten Beweisaufnahme davon aus, dass nur ein sehr kleiner Teil dieser Daten in einem kurzen Zeitraum gesichtet wurde. Dies geht aus den Bekundungen des Zeugen … hervor. Das Gericht geht aufgrund seines persönlichen Eindrucks von dem Zeugen davon aus, dass der Datenverstoß der Beklagten für den Kläger keine weiteren nachteiligen Folgen nach sich ziehen wird. Insbesondere geht es davon aus, dass neben dem Zeugen … keine weiteren Personen Einblick in die Daten des Klägers genommen haben. Insbesondere ist aufgrund des Verhaltens des Zeugen …. davon auszugehen, dass dieser besonders sorgsam mit den Daten des Klägers umgegangen ist. Es ist dabei auch zu berücksichtigen, dass der Zeuge von sich aus bereits kurz nach dem Erhalt des PCs Kontakt zu dem Kläger aufgenommen und den Datenverstoß offengelegt hat. Absprachegemäß hat er sodann die Daten des Klägers von dem PC gelöscht. Dies wurde von der Beklagten bestätigt.

Des Weiteren geht das Gericht davon aus, dass die Beklagte im Grundsatz ausreichende Methoden geschaffen hat, um Datenverstöße der vorliegenden Art zu vermeiden. Der hiesige Datenverstoß ist zudem auf Fahrlässigkeit zurückzuführen. Frühere Datenverstößen oder ein unvorsichtiger Umgang mit Daten kann der Beklagten nach dem Parteivortrag nicht angelastet werden.

Im Übrigen war die Beklagte nach der Anzeige des Datenverstoßes durch den Kläger auch bemüht, die Umstände der Datenweitergabe aufzuklären.

Ein anspruchskürzendes Mitverschulden kann dem Kläger nicht entgegengehalten werden. Dass der Kläger bereits kurz nach dem Erwerb des PCs persönliche Daten auf diesen aufgespielt hat, kann ihm nicht vorgeworfen werden. Dies ist von einer normalen Nutzung des PCs umfasst. Der Kläger muss sich auch nicht entgegenhalten lassen, dass er die aufgespielten Daten vor der Übersendung des PCs an die Beklagte nicht gelöscht hat. Soweit sich die Beklagte zu der Behauptung des Klägers, der PC habe sich nicht mehr starten lassen, mit Nichtwissen erklärt hat, so war dies unzulässig, da die Beklagte den PC im Zuge des Wiederherstellungsprozesses von den eigenen Mitarbeitern untersuchen ließ. Insofern wären der Beklagten aus eigener Wahrnehmung heraus weitere Angaben dazu zumutbar, welchen Mangel der PC tatsächlich aufgewiesen haben soll. Dem Kläger kann auch nicht vorgeworfen werden, dass er die Festplatte hätte ausbauen können. Der Kläger gab im Rahmen der Hauptverhandlung auf persönliche Befragung hin an, er habe vor der Rücksendung des PCs in einem von der Beklagten betriebenen Chat mit einem Mitarbeiter der Beklagten Rücksprache gehalten und darauf hingewiesen, dass er Daten in einem nicht unerheblichen Umfang auf den PC aufgespielt habe. Auch habe er darauf hingewiesen, dass er diese Daten nicht löschen könne, da sich der PC nicht starten lasse. Der Mitarbeiter der Beklagten habe ihm dazu geraten, den PC zurückzuschicken. Sofern der Beklagtenvertreter im Termin daraufhin erklärte, ein entsprechender Chat-Verlauf sei ihm nicht bekannt, so ist dies ebenfalls als Erklärung mit Nichtwissen zu werten. Auch hier ist eine solche Erklärung nicht zulässig, da es sich bei der Kommunikation zwischen dem Kläger und dem Mitarbeiter der Beklagten – die sich zeitlich gut einordnen lässt – auch um einen Vorgang handelt, der sich im Geschäftsbetrieb der Beklagten abgespielt hat.

Der im Rahmen der Erklärungsfrist eingegangene Schriftsatz des Klägers vom 03.09.2020 gab dem Gericht keine Veranlassung dazu, die Wiedereröffnung der mündlichen Verhandlung anzuordnen.

Der Kläger kann nach Art. 82 Abs. 1 und 2 DSGVO auch den Ersatz seiner vorgerichtlichen Anwaltskosten verlangen. Die Inanspruchnahme eines Rechtsanwalts war zur Rechtsdurchsetzung vorliegend erforderlich.

Ausgehend von dem zugesprochenen Schmerzensgeld ergibt sich ein Schadensersatzanspruch in Höhe des im Tenor zu 2. erkannten Betrages (1,3 Geschäftsgebühr nach §§ 13, 14 RVG, Nr. 2300 VV RVG bei einem Gegenstandswert von 800,- € nach Anlage 2 zu § 13 Abs. 1 RVG in Höhe von 104,-, zzgl. Pauschale nach Nr. 7002 VV RVG in Höhe von 20,- und USt in Höhe von 23,56 €).

Die prozessualen Nebenentscheidungen beruhen auf §§ 92 Abs. 1 Satz 1, 708 Nr. 11, 711 ZPO.

Ihre Anwälte

Philipp Gabrys

Kanzleigründer, Rechtsanwalt und Fachanwalt für IT-Recht

Dennis Jeschke

Rechtsanwalt und Notar
Fachanwalt für IT-Recht

Corinna Bernauer

Rechtsanwältin und Autorin von Fachliteratur zum Datenschutzrecht