DA+

Urteil : Zur Abtretung des Anspruchs aus Art. 82 DS-GVO wegen USB-Stick-Verlust (n. rk.) : aus der RDV 6/2021 Seite 349 bis 353

(Landgericht Essen, Urteil vom 23. September 2021)

Archiv RDV
Lesezeit 12 Min.
  1. Der Anspruch auf immateriellen Schadenersatz nach Art. 82 Abs. 1 DSGVO ist abtretbar.
  2. Der postalische Rückversand eines USB-Sticks mit sensiblen Daten aus einer Immobilienfinanzierungsanfrage in einem einfachen Briefumschlag an den Betroffenen verstößt nicht gegen Art. 32 DSGVO, selbst wenn der Verantwortliche alternativ einen mit MultiFaktor-Authentifizierung geschützten File Transfer für die Kundenkommunikation bereit hält.

(Leitsätze der Einsenderin)

Tatbestand:

Der Kläger macht gegen die Beklagte immaterielle Schadensersatzansprüche im Zusammenhang mit dem vermeintlichen Verlust eines USB-Sticks, auf dem sich personenbezogene Daten des Klägers und seiner Ehefrau befanden, geltend.

Der Kläger und seine Ehefrau fragten bei der Beklagten eine Immobilienfinanzierung an. Hierfür stellten sie der Beklagten auf verschiedenen Wegen, u.a. per E-Mail und über einen File-TransferLink per Dropbox, Unterlagen zu Verfügung. Am 21.01.2021 warfen der Kläger und seine Ehefrau zudem einen unverschlüsselten USBStick in den Briefkasten der Beklagten.

Der USB-Stick enthielt Kopien von Ausweisdokumenten, Steuerunterlagen, Daten zu Bestandsimmobilien, der avisierten Immobilie sowie weitere Unterlagen, die die finanzielle Leistungsfähigkeit des Klägers und seiner Ehefrau nachweisen sollten.

Zu einem Vertragsschluss kam es letztlich nicht.

her Post an den Kläger und seine Ehefrau zurück. In der Folgezeit wandte sich die Ehefrau des Klägers wegen eines vermeintlichen Verlustes des USB-Sticks telefonisch an die Beklagte. Mit Schreiben vom 27.01.2021 teilte die Beklagte mit, dass ein „Lost and FoundAuftrag“ bei der Deutschen Post in die Wege geleitet worden sei. Mit Schreiben vom 22.02.2021 teilte die Beklagte mit, dass dieser Auftrag erfolglos geblieben sei. In diesem Schreiben heißt es außerdem: „Auch die Handhabung moderner, digitaler Informationstechnik ist für unsere Mitarbeitenden in Dienstvereinbarungen und Arbeitsanweisungen umfassend geregelt. Es tut uns sehr leid, dass in Ihrem Fall vom vorgesehenen Verfahren abgewichen wurde.“

Mit anwaltlichem Schreiben vom 26.03.2021 forderten der Kläger und seine Ehefrau die Beklagte zur Zahlung eines Schadensersatzes in Höhe von insgesamt 25.000,00 € auf Grundlage von Art. 82 DSGVO auf. Die Beklagte lehnte eine Zahlung mit Schreiben vom 16.04.2021 ab.

Unter dem 06.06.2021 trat die Ehefrau des Klägers diesem ihre vermeintlichen Ansprüche im Zusammenhang mit dem Abhandenkommen des USB-Sticks ab; er nahm die Abtretung an.

Der Kläger behauptet, den USB-Stick auf ausdrücklichen Vorschlag der Sachbearbeiterin der Beklagten übersandt zu haben. Einen anderen – verschlüsselten – Kommunikationsweg habe die Sachbearbeiterin weder erwähnt noch vorgeschlagen, obwohl es verschlüsselte Kommunikationswege (Zwei-Faktor-Authentifizierung) gegeben habe, wie sich im späteren Verlauf gezeigt habe. Der Kläger behauptet weiter, dass der USB-Stick auf dem Rückversand abhandengekommen sei. Seine – des Klägers – Ehefrau habe lediglich einen leeren Briefumschlag empfangen, der seitlich einen Riss aufgewiesen habe. Er ist der Auffassung, dass die Beklagte gegen Vorschriften der DSGVO verstoßen habe, wodurch es zu einem Datenverlust und einem immateriellen Schaden i.S.d. Art. 82 DSGVO für ihn und seine Ehefrau gekommen sei.

Der Versand des USB-Sticks mit sensiblen personenbezogenen Kundendaten per einfachem Brief ohne jegliche weitere Sicherheitsmaßnahme verstoße gegen die in Art. 24, 25 Abs. 1, 32 DSVGO geregelten Anforderungen an die Sicherheit, Ausgestaltung und Vertraulichkeit der Datenverarbeitung……..

Zudem – so ist der Kläger weiter der Ansicht – seien er und seine Ehefrau, nachdem der Verlust des USB-Sticks festgestellt worden sei, nicht ordnungsgemäß i.S.d. Art. 34 Abs. 2, 33 Abs. 3 lit. b — d DSGVO informiert worden. Insbesondere seien —unstreitig — die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten nicht beschrieben worden. Keinem der Schreiben der Beklagte könne ferner — ebenfalls unstreitig — entnommen werden, ob eine Meldung des Vorfalls an die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen erfolgt sei, was binnen 72 Stunden hätte erfolgen müssen.

Die Beklagte behauptet, dass sie zu keinem Zeitpunkt darum gebeten habe, dass die für die Finanzierungsanfrage benötigten Informationen auf einem USB-Stick zur Verfügung gestellt würden. Dem Kläger und seiner Ehefrau hätten vielmehr auch andere Übertragungswege zur Verfügung gestanden, die sie zuvor bereits genutzt hätten. Die Ehefrau des Klägers habe jedoch auf die Übermittlung per USB-Stick bestanden. Zudem hätte der Kläger den USB-Stick selbst verschlüsseln müssen, wenn er – dies für erforderlich gehalten hätte. Da er dies nicht getan habe, habe er – so meint die Beklagte – bereits zum Ausdruck gebracht, dass den darauf befindlichen Informationen seiner Ansicht nach entweder keine hohe Bedeutung zukomme oder er zumindest billigend in Kauf genommen habe, dass etwaige unbefugte Dritte auf die Daten zugreifen könnten. Sie – die Beklagte – selbst sei zur Verschlüsselung des USB-Sticks vor dessen Rücksendung mit Blick auf § 303a StGB jedenfalls nicht berechtigt gewesen. Insofern treffe den Kläger ein Mitverschulden in Höhe von 100 %.

Die Beklagte bestreitet ferner, dass dem Kläger durch den Verlust des USB-Sticks negative Auswirkungen entstanden seien.

Die Beklagte vertritt die Auffassung, dass der Kläger hinsichtlich vermeintlicher Ansprüche seiner Ehefrau nicht aktivlegitimiert sei. Der Abtretungsvertrag sei nicht wirksam, da die fragliche Forderung nicht hinreichend bestimmt bezeichnet sei.Zudem handele es sich bei dem geltend gemachten Anspruch auf immateriellen Schadensersatz um einen höchstpersönlichen Anspruch, der nicht abgetreten werden könne.

Aus den Gründen:

Die Klage ist zulässig aber unbegründet.

Dem Kläger steht gegen die Beklagte der geltend gemachte immaterielle Schadensersatzanspruch aus keinem rechtlichen Gesichtspunkt zu.

  1. a)

Ein Anspruch des Klägers ergibt sich zunächst nicht aus Art. 82 Abs. 1 DSGVO.

Danach hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen i.S.d. DSGVO. Zwar ist der Kläger auch hinsichtlich der Ansprüche seiner Ehefrau aktivlegitimiert. Es liegt auch — zumindest hinsichtlich der fehlenden Mitteilung an die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW — ein Verstoß gegen die DSGVO vor. Der Kläger hat jedoch nicht hinreichend substantiiert dargetan, dass ihm ein erheblicher Schaden entstanden ist.

Im Einzelnen:

  1. aa)

Der Kläger ist zunächst aktivlegitimiert. Für seinen eigenen Anspruch ist dies unproblematisch der Fall. Die Aktivlegitimation besteht darüber hinaus — entgegen der Ansicht der Beklagten — auch hinsichtlich des Anspruchs seiner Ehefrau.

Aufgrund des Abtretungsvertrags vom 06.06.2021 (Anlage K 5, BI. 20 d. A.) ist der Kläger Forderungsinhaber geworden, § 398 BGB.

Grundsätzlich ist jede Forderung abtretbar (vgl. Grüneberg in: Palandt, 80. Aufl. 2021, § 398 BGB Rn. 8); insbesondere auch Schmerzensgeldansprüche (vgl. Grüneberg in: Palandt, 80. Aufl. 2021, § 253 BGB Rn. 22). Ein Abtretungsverbot nach §§ 399, 400 BGB besteht nicht. Die vermeintliche Forderung der Ehefrau des Klägers gegen die Beklagte unterliegt weder der Pfändung (§ 400 BGB) noch wurde die Abtretung durch Vereinbarung ausgeschlossen oder erfordert die Abtretung eine Inhaltsänderung der Leistung (§ 399 BGB).

Die Abtretung ist zudem wirksam……………

  1. bb)

Der Beklagten ist ein Verstoß gegen Art. 33 DSGVO vorzuwerfen — unterstellt, der USB-Stick ist tatsächlich verloren gegangen. Gemäß Art. 33 Abs. 1 DSGVO meldet der Verantwortliche im Falle einer Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Die erforderlichen zu meldenden Informationen ergeben sich aus Art. 33 Abs. 3 DSGVO. Eine solche Meldung ist indes — unstreitig —nicht erfolgt. Unerheblich ist dabei, dass der Kläger und seine Ehefrau als Betroffene bereits Kenntnis von dem vermeintlichen Datenverlust hatten, da sie ihn selbst gemeldet haben. Denn die Meldepflicht dient zum einen der Minimierung der negativen Auswirkungen von Datenschutzverletzungen durch Publizität gegenüber der Aufsichtsbehörde (und dem Betroffenen). Gleichzeitig gewährt die Vorschrift so vorbeugenden Schutz der informationellen Selbstbestimmung des Betroffenen, indem sie Anreize zur Vermeidung zukünftiger Verletzungen beim Verantwortlichen setzt. Die Vorschrift dient also nicht nur dem Schutz des Betroffenen. Die Meldung gegenüber der Aufsichtsbehörde ermöglicht es dieser, über Maßnahmen zur Eindämmung und Ahndung der Rechtsverletzung zu entscheiden (vgl. BeckOK DatenschutzR/Brink, 37. Ed. 1.11.2019 Rn. 10, DS-GVO Art. 33 Rn. 10). Insofern genügt bereits ein solch formeller Verstoß gegen die DSGVO zur Begründung eines Schadensersatzanspruches dem Grunde nach (BeckOK DatenschutzR/ Quaas, 37. Ed. 1.8.2021, DS-GVO Art. 82 Rn. 14).

Zudem liegt ein Verstoß gegen Art. 34 Abs. 2 DSGVO vor. Zwar ist der Beklagten insofern zuzustimmen, als sie selbst erst durch den Kläger bzw. seine Ehefrau von dem vermeintlichen Datenverlust informiert wurde. Die Informationspflichten des Art. 34 DSGVO sehen über die reine Information über den Datenverlust selbst hinaus jedoch vor, dass die in Art. 33 Abs. 3 lit. b-d DSGVO genannten Informationen und Maßnahmen auch dem Betroffenen – hier dem Kläger und seiner Ehefrau – mitgeteilt werden. Dies ist jedoch – unstreitig – nicht erfolgt.

  1. cc)

Dagegen liegt kein Verstoß gegen Art. 24, 25 Abs. 1, 32 DSGVO vor.

Danach hat der Verantwortliche i.S.d. DSGVO unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen und umzusetzen, um sicherzustellen, dass die Verarbeitung gemäß der DSGVO erfolgt und die Rechte der betroffenen Personen geschützt werden. In Art. 25 Abs. 1 und Art. 32 Abs. 1 DSGVO werden dafür exemplarisch die Pseudonymisierung und Verschlüsselung personenbezogener Daten genannt.

Ein Verstoß der Beklagten liegt indes nicht vor. Die Kammer konnte kein Fehlverhalten im Haus der Beklagten feststellen. Dabei ist zunächst zu berücksichtigen, dass der vermeintliche Verlust der Daten jedenfalls nicht im Haus der Beklagten erfolgt ist. Dies wird auch von Klägerseite nicht behauptet. Vielmehr soll der USB-Stick auf dem Postversand verloren gegangen sein.

Die Kammer sieht zudem keinen Grund, weshalb die Beklagte den USB-Stick nicht per einfachem Brief an den Kläger und seine Ehefrau hätte versenden dürfen. Zwar waren auf dem USBStick Dokumente mit sensiblen persönlichen und wirtschaftlichen Informationen enthalten. Dies ist jedoch kein Grund, nicht den Service der Deutschen Post nutzen zu dürfen. Von verschiedensten Stellen werden ausgedruckte Dokumente mit sensiblen Informationen, z.B. Steuerbescheide, Schreiben von Anwälten und Steuerberatern o.Ä., mit einfacher Post versandt.

Hiergegen ist ebenfalls nichts einzuwenden; eine irgendwie geartete Pflichtverletzung der handelnden Stellen ist nicht ersichtlich. Weshalb zwischen ausgedruckten Dokumenten, die naturgemäß unverschlüsselt übersandt werden, und digitalen Dokumenten auf einem unverschlüsselten USB-Stick im Zuge der postalischen Übermittlung unterschieden werden soll, erschließt sich der Kammer nicht.

Die Beklagte war zudem nicht gehalten, den USB-Stick in einem gepolsterten Umschlag zu versenden. Bei dem USB-Stick handelt es sich weder um einen leicht zu beschädigenden Gegenstand, der vor äußeren Einwirkungen geschützt werden müsste, noch musste die Beklagte davon auszugehen, dass ein USB-Stick als relativ leichter Gegenstand ohne scharfe Kanten den Briefumschlag von innen heraus zerstören könnte.

Ferner bestand keine Verpflichtung der Beklagten, den USBStick dem Kläger oder seiner Verlobten persönlich zu übergeben. Unstreitig wurde dies nicht durch den Kläger oder seine Ehefrau gefordert. Zudem bestand für die Beklagte – wie bereits ausgeführt – keine Veranlassung, an dem zuverlässigen Versand durch die Deutsche Post zu zweifeln.

  1. dd)

Der Kläger hat jedoch ohnehin nicht hinreichend substantiiert dargetan, dass ihm und seiner Ehefrau ein konkreter immaterieller Schaden entstanden ist.

Für den – hier geltend gemachten – immateriellen Schadensersatz gelten dabei die im Rahmen von § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO (BeckOK DatenschutzR/Quaas, 32. Ed. 1.2.2020, DS-GVO Art. 82 Rn. 31). Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DSGVO herangezogen werden, bspw. die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insbesondere wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren (BeckOK DatenschutzR/ Quaas, 32. Ed. 01.02.2020, DS-GVO Art. 82 Rn. 31) (vgl. LG Köln, Urteil vom 07.10.2020 – 28 0 71/20). Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht nur auf schwere Schäden beschränkt (vgl. LG Landshut, Urteil vom 06.11.2020 – 51 0 513/20).

Allein die – etwaige – Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten, nicht nur unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben (vgl. LG Hamburg, Urteil vom 04.09.2020 – 324 S 9/19). Es ist zwar eine schwere Verletzung des Persönlichkeitsrechts nicht (mehr) erforderlich. Andererseits ist auch weiterhin nicht für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein, und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen (vgl. LG Landshut, Urteil vom 06.11.2020 – 51 0 513/20).

Gemessen an diesen Grundsätzen kann die Kammer anhand des klägerischen Vortrags spürbare Beeinträchtigung von persönlichen Belangen des Klägers und seiner Ehefrau in keiner Weise feststellen.

Der Kläger hat lediglich vorgetragen, dass er und seine Ehefrau infolge des vermeintlichen Verlustes des USB-Sticks einen Kontrollverlust erlitten hätten. Weiter wird dies indes nicht ausgeführt. Die Kammer hat dabei berücksichtigt, dass der Verlust eines USB-Sticks, auf dem sich ungesicherte persönliche und wirtschaftliche Informationen befinden, durchaus zu einem „unguten Gefühl“ führen kann. Der Kläger hat jedoch in keiner Weise vorgetragen, inwiefern sich für ihn bzw. seine Ehefrau eine ernsthafte Beeinträchtigung ergeben hat. Negative Auswirkungen des Verlustes haben sich nicht gezeigt – zumindest wurden sie weder vorgetragen noch ergeben sie sich aus den sonstigen Umständen des Falles. Es ist zudem völlig unklar, was mit dem USB-Stick passiert ist – unterstellt, er ist tatsächlich abhandengekommen. Negative Auswirkungen des behaupteten Verlustes – etwa in Form eines Identitätsdiebstahls oder ähnliches – müssten der Kläger und seine Ehefrau allenfalls befürchten, wenn der USB-Stick in die Hände eines Dritten gelangt ist. Ob das der Fall ist, ist völlig unklar. Genauso gut ist es möglich, dass der USB-Stick bei der Verarbeitung der Briefe im Bereich der Deutschen Post zerstört oder beschädigt wurde. Im klägerischen Schriftsatz vom 15.09.2021 ist die Rede von einer walzenund rollenbetriebenen Sortieranlage der Deutschen Post. Insofern ist es durchaus wahrscheinlich, dass ein USB-Stick in dieser Sortieranlage beschädigt werden kann. In diesem Fall wäre es somit ausgeschlossen, dass ein unbefugter Dritter überhaupt an die Daten des Klägers und seiner Ehefrau gelangen könnte.

Dieses Ergebnis steht nicht im Widerspruch zu der Entscheidung des Bundesverfassungsgerichts vom 14.01.2021 (1 BvR 2853/19), in der es um die Ablehnung eines immateriellen Schadensersatzanspruchs wegen fehlender Erheblichkeit ging, was „weder unmittelbar in der DSGVO angelegt [sei], noch von der Literatur befürwortet oder vom Gerichtshof der Europäischen Union verwendet [werde]“. Denn im vorliegenden Fall wurde nicht einmal eine spürbare Beeinträchtigung des Klägers und seiner Ehefrau vorgetragen. Über die Frage der Erheblichkeit musste die Kammer daher nicht entscheiden.

Im Übrigen hält die Kammer das Vorgehen des Klägers, außergerichtlich zunächst einen niedrigeren Schmerzensgeldbetrag zu fordern, unter Androhung, den Betrag zu erhöhen, falls ein gerichtliches Verfahren erforderlich werde, für äußerst befremdlich. Generell ist der vom Kläger geforderte Betrag deutlich übersetzt, wie insbesondere ein Vergleich mit Schmerzensgeldansprüchen wegen Körperverletzungen verdeutlicht, was insgesamt ein überbordendes Gewinnstreben des Klägers aufzeigt, hingegen nicht, dass er sich durch die behaupteten Vorgänge in irgendeiner Art und Weise persönlich beeinträchtigt sieht.

(Eingereicht von RAin Viktoria Lehner)