Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
branchbob
BrickLink
Cardmarket
Cdiscount.com
Chrono24
commerce:seo
conrad.de
CosmoShop
Delcampe
Dienstleistungen
Discogs
Dropshipping-Marktplatz.de
eBay
eBay-Kleinanzeigen
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Facebook
FairFox
Fairmondo.de
galeria.de
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
GTC for Shopify
Handmade at Amazon
Homepages
Hood
Hosting-B2B
Hosting-B2B-B2C
Idealo-Direktkauf
Instagram
Jimdo
Joomla
JTL
Kasuwa
Kaufland.de
Kauflux
Lightspeed
LinkedIn
Lizenzo
Magento 1 und Magento 2
manomano
Mediamarkt.de
meinOnlineLager
metro.de
modified eCommerce-Shops
Mädchenflohmarkt
Online-Shop
Online-Shop (Verkauf digitaler Inhalte)
Online-Shop - B2B
OpenCart
Otto.de
Oxid-Shops
Palundu
Pinterest
plentymarkets
Praktiker.de
Prestashop
productswithlove
RAIDBOXES
Restposten
restposten24.de
Ricardo.ch
Seminare
Shop - Online-Kurse (live/on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shopgate
shopify
Shopware
Shpock+
shöpping.at
smartvie
Squarespace
STRATO
Teilehaber.de
TikTok-Präsenzen
Tumblr
Twitch
Twitter
TYPO3
Verkauf von Veranstaltungstickets
Verkauf über individuelle Kommunikation (B2B)
Verkauf über individuelle Kommunikation (B2Bb2c)
Verkauf über Printkataloge
Verkauf über stationären Handel
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
webador
Webseite (kein Verkauf)
Werky
Wix
WooCommerce
WooCommerce German Market
WooCommerce Germanized
WordPress
Wordpress-Shops
wpShopGermany
Xanario
XING
xt:Commerce
Yatego
YouTube
Zen-Cart
ZVAB
Österreichische Datenschutzerklärung
von Susanna Milrath

LG Essen: Kein Datenschutzverstoß bei Rückversand von USB-Stick mit personenbezogenen Daten nach gescheitertem Vertragsschluss

News vom 15.11.2021, 12:53 Uhr | Keine Kommentare

Unternehmen sind gesetzlich dazu angehalten, auf die Rechte ihrer (potenziellen) Kunden Rücksicht zu nehmen und ihnen durch Einrichtung hinreichender technischer und organisatorischer Maßnahmen die notwendige Datensicherheit zu gewährleisten. Ob der Rückversand eines USB-Sticks mit personenbezogenen Daten eines potenziellen Kunden nach gescheitertem Vertragsschluss mit der einfachen Post schon eine Verletzung dieser Pflicht darstellt, entschied das LG Essen mit Urteil vom 23.09.2021 (AZ: 6 O 190/21). Lesen Sie mehr zur Entscheidung.

I. Der Sachverhalt

Der Kläger fragte bei der Beklagten eine Immobilienfinanzierung an.

In diesem Zuge händigte er der Beklagten einen USB-Stick mit Kopien von Ausweisdokumenten, Steuerunterlagen, Daten zu Bestandsimmobilien, der anvisierten Immobilie sowie weiteren Unterlagen aus, die Informationen zur finanziellen Leistungsfähigkeit des Klägers enthielten.

Der Kläger warf den USB-Stick in den Briefkasten der Beklagten.

Weil es zu einem Vertragsschluss letztlich nicht kam, sendete die Beklagte den USB-Stick dann per einfacher Post an den Kläger zurück. Was mit dem USB-Stick auf dem Versandweg passierte, ist unklar.

Der Kläger gab an, der Stick sei auf dem Rückweg verloren gegangen. Er habe lediglich einen leeren Briefumschlag mit Riss empfangen. Laut Kläger händigte dieser der Beklagten den USB-Stick überhaupt nur auf Wunsch der Sachbearbeiterin der Beklagten aus. Über andere (verschlüsselte) Kommunikationswege habe man ihn - trotz deren Existenz - nicht informiert.

Der Versand des USB-Sticks mit diesen sensiblen Daten ohne weitere Vorsichtsmaßnahmen verstoße gegen die Anforderungen an die Sicherheit, Ausgestaltung und Vertraulichkeit der Datenverarbeitung aus Art. 24, 25 Abs. 1, 32 DSGVO. Dadurch sei ihm ein immaterieller Schaden nach Art. 82 DSGVO entstanden.

Die Beklagte wehrte sich gegen die Vorwürfe, indem sie behauptete, sie habe nie um eine Überreichung der Informationen via USB-Stick gebeten. Der Kläger habe gewusst, dass es andere Kommunikationswege gebe, weil er diese zuvor auch schon genutzt habe. Außerdem sei es Aufgabe des Klägers und nicht der Beklagten, den USB-Stick zu verschlüsseln. Dies habe er aber von Anfang an unterlassen. Somit habe er die Informationen auf dem Stick nicht als besonders vertraulich angesehen oder zumindest billigend in Kauf genommen, dass etwaige Dritte diese einsehen können.

Allein schon wegen 303a StGB sei es der Beklagten nicht gestattet gewesen, den Stick selbst zu verschlüsseln.

Auch bestritt die Beklagte mit Nichtwissen das Abhandenkommen des USB-Sticks. Der Brief sei ordnungsgemäß an die Deutsche Post übergeben worden, sodass sie (die Beklagte) für ein etwaiges Abhandenkommen schon nicht verantwortlich sei.

Schließlich führte die Beklagte auf, dass keine negativen Auswirkungen beim Kläger vorlägen. Der Nachweis einer nicht nur unerheblichen Beeinträchtigung durch den Verstoß gegen die Regelungen der DSGVO sei unterblieben. Eine subjektive Unannehmlichkeit reiche nicht aus.

Banner Starter Paket

II. Die Entscheidung

Das LG Essen wies die Klage (AZ: 6 O 190/21) am 23.09.2021 als unbegründet ab. Die vom Kläger geltend gemachten Ansprüche bestünden nicht.

1.) Kein Verstoß gegen technische und organisatorische Maßnahmen

Nach Art, 24, 25 Abs. 1, 32 DSGVO ist der Verantwortliche verpflichtet, technische und organisatorische Maßnahmen zu treffen um die Verarbeitung gem. der DSGVO sowie den Schutz der Rechte der betroffenen Person sicherzustellen. Alles dies hat unter Berücksichtigung des aktuellen Stands der Technik zu erfolgen.

Ein diesbezügliches Fehlverhalten der Beklagten konnte das Gericht indes nicht feststellen.

Dabei sei zunächst zu berücksichtigen, dass der vermeintliche Verlust der Daten jedenfalls nicht im Haus der Beklagten erfolgt sei. Ein Datenverlust stehe erst auf dem Transportweg im Raum.

Sodann sei zu berücksichtigen, dass die Beklagte den Stick via einfacher Post datenschutzkonform versendet habe. Das Enthaltensein personenbezogener Daten sei kein Grund, nicht die Deutsche Post zu nutzen. So würden etwa Steuerbescheide, Anwaltsschreiben und weitere ausgedruckte Dokumente mit sensiblen Daten ständig von den unterschiedlichsten Stellen verschickt. Dabei bestünden keine Zweifel an der Einhaltung der Pflichten aus der DSGVO. Es leuchte nicht ein, warum man ausgedruckte und nicht ausgedruckte Daten in diesem Fall unterschiedlich behandeln solle.

Schließlich habe auch keine Verpflichtung bestanden, dem Kläger den Stick persönlich zu übergeben. Dies habe der Kläger nicht gefordert.

2.) Keine hinreichende Darlegung eines immateriellen Schadens

Vorliegend scheitere ein Ersatzanspruch zwar bereits am Fehlen eines zurechenbaren Datenschutzverstoßes der Beklagten.

Selbst aber, wenn man einen solchen annehmen wollte, würde es aber an den Voraussetzungen des Art. 82 DSGVO mangeln.

So habe der Kläger habe nicht ausreichend dargelegt, dass ihm ein erheblicher Schaden entstanden sei. Allein die – etwaige – Verletzung des Datenschutzrechts begründe noch keinen Schadensersatzanspruch. Es müsse eine auf der Verletzungshandlung basierende, nicht nur unbedeutende Verletzung von Persönlichkeitsrechten des Klägers vorliegen. Dem Betroffenen müsse ein spürbarer Nachteil entstanden sein mit objektiv nachvollziehbarer Beeinträchtigung persönlichkeitsbezogener Belange. Ein solcher lasse sich durch den Vortrag des Klägers im Fall nicht feststellen.

Ein - wie hier vorgetragener – Kontrollverlust oder ein „ungutes Gefühl“ seien nicht ausreichend. Es fehle an der ernsthaften Beeinträchtigung. Negative Auswirkungen des Verlustes wie etwa ein Identitätsdiebstahl lägen nicht vor. Dies sei zudem nur zu befürchten, wenn ein Dritter in Besitz des Sticks gekommen wäre. Das Geschehen um den Stick sei jedoch völlig unklar. Es stünde nicht gewiss fest, dass er in die Hände Dritter gelangt sei. Genauso gut könne er im Bereich der Deutschen Post zerstört worden sein. In diesem Fall sei es völlig ausgeschlossen, dass der Stick in falsche Hände geraten sei.

III. Fazit

Der postalische Versand eines USB-Sticks mit personenbezogenen Kundendaten zurück an den Kunden stellt zumindest dann keinen Verstoß gegen das Datenschutzrecht dar, wenn der Kunde den Stick mit den Daten unverschlüsselt selbst bereitgestellt hat. In diesem Fall läge es am Kunden, deutlich hervorzuheben, wenn er einen anderen (sichereren) Übermittlungsweg bevorzugt.

Ein DSGVO-Schadensersatz erfordert stets die substantiierte Darlegung eines persönlich spürbaren Nachteils aus einer Datenschutzverletzung. Der bloße Vortrag einer Unannehmlichkeit reicht nicht aus.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Autor:
Susanna Milrath
Wissenschaftliche Mitarbeiterin

Besucherkommentare

Bisher existieren keine Kommentare.

Vielleicht möchten Sie der Erste sein?

© 2005-2022 · IT-Recht Kanzlei Keller-Stoltenhoff, Keller