LG Essen: Kein Datenschutzverstoß bei Rückversand von USB-Stick mit personenbezogenen Daten nach gescheitertem Vertragsschluss

Unternehmen sind gesetzlich dazu angehalten, auf die Rechte ihrer (potenziellen) Kunden Rücksicht zu nehmen und ihnen durch Einrichtung hinreichender technischer und organisatorischer Maßnahmen die notwendige Datensicherheit zu gewährleisten. Ob der Rückversand eines USB-Sticks mit personenbezogenen Daten eines potenziellen Kunden nach gescheitertem Vertragsschluss mit der einfachen Post schon eine Verletzung dieser Pflicht darstellt, entschied das LG Essen mit Urteil vom 23.09.2021 (AZ: 6 O 190/21). Lesen Sie mehr zur Entscheidung.

I. Der Sachverhalt

Der Kläger fragte bei der Beklagten eine Immobilienfinanzierung an.

In diesem Zuge händigte er der Beklagten einen USB-Stick mit Kopien von Ausweisdokumenten, Steuerunterlagen, Daten zu Bestandsimmobilien, der anvisierten Immobilie sowie weiteren Unterlagen aus, die Informationen zur finanziellen Leistungsfähigkeit des Klägers enthielten.

Der Kläger warf den USB-Stick in den Briefkasten der Beklagten.

Weil es zu einem Vertragsschluss letztlich nicht kam, sendete die Beklagte den USB-Stick dann per einfacher Post an den Kläger zurück. Was mit dem USB-Stick auf dem Versandweg passierte, ist unklar.

Der Kläger gab an, der Stick sei auf dem Rückweg verloren gegangen. Er habe lediglich einen leeren Briefumschlag mit Riss empfangen. Laut Kläger händigte dieser der Beklagten den USB-Stick überhaupt nur auf Wunsch der Sachbearbeiterin der Beklagten aus. Über andere (verschlüsselte) Kommunikationswege habe man ihn - trotz deren Existenz - nicht informiert.

Der Versand des USB-Sticks mit diesen sensiblen Daten ohne weitere Vorsichtsmaßnahmen verstoße gegen die Anforderungen an die Sicherheit, Ausgestaltung und Vertraulichkeit der Datenverarbeitung aus Art. 24, 25 Abs. 1, 32 DSGVO. Dadurch sei ihm ein immaterieller Schaden nach Art. 82 DSGVO entstanden.

Die Beklagte wehrte sich gegen die Vorwürfe, indem sie behauptete, sie habe nie um eine Überreichung der Informationen via USB-Stick gebeten. Der Kläger habe gewusst, dass es andere Kommunikationswege gebe, weil er diese zuvor auch schon genutzt habe. Außerdem sei es Aufgabe des Klägers und nicht der Beklagten, den USB-Stick zu verschlüsseln. Dies habe er aber von Anfang an unterlassen. Somit habe er die Informationen auf dem Stick nicht als besonders vertraulich angesehen oder zumindest billigend in Kauf genommen, dass etwaige Dritte diese einsehen können.

Allein schon wegen 303a StGB sei es der Beklagten nicht gestattet gewesen, den Stick selbst zu verschlüsseln.

Auch bestritt die Beklagte mit Nichtwissen das Abhandenkommen des USB-Sticks. Der Brief sei ordnungsgemäß an die Deutsche Post übergeben worden, sodass sie (die Beklagte) für ein etwaiges Abhandenkommen schon nicht verantwortlich sei.

Schließlich führte die Beklagte auf, dass keine negativen Auswirkungen beim Kläger vorlägen. Der Nachweis einer nicht nur unerheblichen Beeinträchtigung durch den Verstoß gegen die Regelungen der DSGVO sei unterblieben. Eine subjektive Unannehmlichkeit reiche nicht aus.

II. Die Entscheidung

Das LG Essen wies die Klage (AZ: 6 O 190/21) am 23.09.2021 als unbegründet ab. Die vom Kläger geltend gemachten Ansprüche bestünden nicht.

1.) Kein Verstoß gegen technische und organisatorische Maßnahmen

Nach Art, 24, 25 Abs. 1, 32 DSGVO ist der Verantwortliche verpflichtet, technische und organisatorische Maßnahmen zu treffen um die Verarbeitung gem. der DSGVO sowie den Schutz der Rechte der betroffenen Person sicherzustellen. Alles dies hat unter Berücksichtigung des aktuellen Stands der Technik zu erfolgen.

Ein diesbezügliches Fehlverhalten der Beklagten konnte das Gericht indes nicht feststellen.

Dabei sei zunächst zu berücksichtigen, dass der vermeintliche Verlust der Daten jedenfalls nicht im Haus der Beklagten erfolgt sei. Ein Datenverlust stehe erst auf dem Transportweg im Raum.

Sodann sei zu berücksichtigen, dass die Beklagte den Stick via einfacher Post datenschutzkonform versendet habe. Das Enthaltensein personenbezogener Daten sei kein Grund, nicht die Deutsche Post zu nutzen. So würden etwa Steuerbescheide, Anwaltsschreiben und weitere ausgedruckte Dokumente mit sensiblen Daten ständig von den unterschiedlichsten Stellen verschickt. Dabei bestünden keine Zweifel an der Einhaltung der Pflichten aus der DSGVO. Es leuchte nicht ein, warum man ausgedruckte und nicht ausgedruckte Daten in diesem Fall unterschiedlich behandeln solle.

Schließlich habe auch keine Verpflichtung bestanden, dem Kläger den Stick persönlich zu übergeben. Dies habe der Kläger nicht gefordert.

2.) Keine hinreichende Darlegung eines immateriellen Schadens

Vorliegend scheitere ein Ersatzanspruch zwar bereits am Fehlen eines zurechenbaren Datenschutzverstoßes der Beklagten.

Selbst aber, wenn man einen solchen annehmen wollte, würde es aber an den Voraussetzungen des Art. 82 DSGVO mangeln.

So habe der Kläger habe nicht ausreichend dargelegt, dass ihm ein erheblicher Schaden entstanden sei. Allein die – etwaige – Verletzung des Datenschutzrechts begründe noch keinen Schadensersatzanspruch. Es müsse eine auf der Verletzungshandlung basierende, nicht nur unbedeutende Verletzung von Persönlichkeitsrechten des Klägers vorliegen. Dem Betroffenen müsse ein spürbarer Nachteil entstanden sein mit objektiv nachvollziehbarer Beeinträchtigung persönlichkeitsbezogener Belange. Ein solcher lasse sich durch den Vortrag des Klägers im Fall nicht feststellen.

Ein - wie hier vorgetragener – Kontrollverlust oder ein „ungutes Gefühl“ seien nicht ausreichend. Es fehle an der ernsthaften Beeinträchtigung. Negative Auswirkungen des Verlustes wie etwa ein Identitätsdiebstahl lägen nicht vor. Dies sei zudem nur zu befürchten, wenn ein Dritter in Besitz des Sticks gekommen wäre. Das Geschehen um den Stick sei jedoch völlig unklar. Es stünde nicht gewiss fest, dass er in die Hände Dritter gelangt sei. Genauso gut könne er im Bereich der Deutschen Post zerstört worden sein. In diesem Fall sei es völlig ausgeschlossen, dass der Stick in falsche Hände geraten sei.

III. Fazit

Der postalische Versand eines USB-Sticks mit personenbezogenen Kundendaten zurück an den Kunden stellt zumindest dann keinen Verstoß gegen das Datenschutzrecht dar, wenn der Kunde den Stick mit den Daten unverschlüsselt selbst bereitgestellt hat. In diesem Fall läge es am Kunden, deutlich hervorzuheben, wenn er einen anderen (sichereren) Übermittlungsweg bevorzugt.

Ein DSGVO-Schadensersatz erfordert stets die substantiierte Darlegung eines persönlich spürbaren Nachteils aus einer Datenschutzverletzung. Der bloße Vortrag einer Unannehmlichkeit reicht nicht aus.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.