Stellt das Versenden eines unverschlüsselten USB-Sticks mit sensiblen personenbezogenen Daten durch einfachen Brief einen Verstoß gegen die DSGVO dar?

Der Kläger machte gegen die Beklagte immaterielle Schadensersatzansprüche im Zusammenhang mit dem vermeintlichen Verlust eines USB-Sticks, auf dem sich personenbezogene Daten des Klägers und seiner Ehefrau befanden, geltend. Das Landgericht Essen hatte darüber zu entscheiden (Urteil vom 23.9.‌2021 – 6 O 190/21).  

1. Sachverhalt

Der Kläger und seine Ehefrau fragten bei der Beklagten eine Immobilienfinanzierung an. Um der Anfrage nachzukommen, warfen sie einen nicht verschlüsselten USB-Stick in den Briefkasten der Beklagten ein. Der Datenträger enthielt neben Kopien von Ausweisdokumenten auch Steuerunterlagen und Daten zu Bestandsimmobilien. Zu einem Vertragsschluss kam es zwischen dem Kläger und der Beklagten letzten Endes nicht. Die Beklagte schickte sodann den USB-Stick mit einfacher Post an den Kläger und seine Ehefrau zurück. Dieser Brief kam nach Aussagen des Klägers nicht bei ihm oder seiner Ehefrau an. Der Kläger sah in dem Verlust des Datenträgers einen Verlust über die Kontrolle seiner personenbezogenen Daten. In der Folgezeit forderte der Kläger in seiner Klage vor dem LG Essen immateriellen Schadensersatz in Höhe von insgesamt 30.000,- EUR an.

Der Kläger trug vor, die Beklagte habe gegen die in Art. 24, 25 Abs. 1, 32 DSGVO genannten Verpflichtungen verstoßen. Der Briefversand des USB-Sticks mit sensiblen personenbezogenen Kundendaten ohne weitere Sicherheitsmaßnahmen habe nicht den gesetzlichen Anforderungen an die Sicherheit und Vertraulichkeit der Datenverarbeitung entsprochen. Es komme hinzu, dass  die Beklagte gegen Informationspflichten nach Art. 34 Abs. 2, 33 Abs. 3 lit. b-d) DSGVO verstoßen habe. Daher habe der Kläger gegen die Beklagte einen Anspruch auf den Ersatz immaterieller Schadensersatzansprüche nach Art. 82 Abs. 1 DSGVO. (Ansprüche, die nicht aus der DSGVO herrühren bleiben in diesem Beitrag außen vor.)

2. Entscheidung

a) Kein Verstoß gegen Art. 24, 25 Abs. 1, 32 DSGVO

Ein Verstoß gegen Art. 24, 25 Abs. 1, 32 DSGVO lag nach Auffassung des Gerichts nicht vor. Hiernach hat der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen und umzusetzen, um sicherzustellen, dass die Verarbeitung gemäß der DSGVO erfolgt und dadurch die Rechte der betroffenen Personen geschützt werden.

Die Beklagte habe jedoch, mit dem Untergang des USB-Sticks auf dem Postweg, nicht gegen die besagten Vorschriften verstoßen. Es gibt keinen Grund, weshalb die Beklagte den USB-Stick nicht mit einfachem Brief an den Kläger und seine Ehefrau hätte versenden dürfen. Auch andere wichtige Dokumente werden regelmäßig mit der Post verschickt. Dem Gericht erschließe sich nicht, weshalb zwischen ausgedruckten Dokumenten, die naturgemäß unverschlüsselt übersandt werden, und digitalen Dokumenten auf einem unverschlüsselten USB-Stick unterschieden werden soll.

b) Verstoß gegen Art. 33, 34 Abs. 2 DSGVO

Unterstellt, der USB-Stick sei tatsächlich verloren gegangen, wäre nach Ansicht des Gerichts ein Verstoß gegen die Pflicht zur Meldung von festgestellten Datenschutzverletzungen nach Art. 33 DSGVO gegeben. Weiterhin bejahte das LG Essen für diesen Fall einen Verstoß gegen Art. 34 Abs. 2 DSGVO, da die erforderlichen Informationen von der Beklagten dem Kläger nicht mitgeteilt wurden.

c) Abtretbarkeit von Art. 82 Abs. 1 DSGVO

Zunächst befasste sich das Gericht mit der Frage, ob immaterielle Schadensersatzansprüche gem. Art. 82 Abs. 1 DSGVO nach § 398 BGB wirksam abgetreten werden können. Das AG Hannover hatte in einer vorausgehenden Entscheidung die Zulässigkeit einer solchen Abtretung verneint. In der Begründung hieß es, dass ein solcher Anspruch als höchstpersönlich und damit als nicht abtretbar bewertet werde (ZD 2021, 176). Das LG Essen war jedoch der Meinung, dass grundsätzlich jede Forderung abtretbar sei. Ein Abtretungsverbot nach §§ 399, 400 BGB bestehe im vorliegenden Fall nicht. Zudem sei die Abtretung nicht durch eine Vereinbarung ausgeschlossen. Die Abtretung erfordere auch keine inhaltliche Änderung der Leistung i. S. v. § 399 BGB. Das Gericht hatte hinsichtlich der Wirksamkeit der Abtretung auch in Bezug auf die Bestimmtheit keine Bedenken.

Es reiche aus, wenn im Zeitpunkt des Entstehens der Forderung bestimmbar sei, ob sie von der Abtretung erfasst werde. In dem Abtretungsvertrag hieß es, dass dem Zedenten aus einer datenschutzrechtlichen Verletzung Schadensersatzansprüche gegen die Beklagte – in einer noch durch ein Gericht festzulegenden Höhe – zustehen. Zudem wurde der Grund des Schadensersatzanspruchs näher beschrieben.

d) Substanziierte Darlegung des immateriellen Schadens

Trotz eines möglichen Verstoßes gegen Art. 33, 34 Abs. 2 DSGVO verneinte das Gericht jedoch einen Anspruch nach Art. 82 Abs. 1 DSGVO. Denn der Kläger konnte nach Auffassung des LG Essen nicht hinreichend substanziiert darlegen, dass ihm oder seiner Ehefrau ein erheblicher Schaden entstanden sei. Nach Ansicht des Gerichts gelten für den immateriellen Schadensersatz nach Art. 82 DSGVO die im Rahmen von § 253 BGB entwickelten Grundsätze. Für die Bemessung einer Schadenshöhe könnten die Kriterien des Art. 83 Abs. 2 DSGVO herangezogen werden.

Allein die Verletzung des Datenschutzrechts als solche begründe aber noch keinen Schadensersatzanspruch. Die Verletzungshandlung müsse nach Ansicht des Gerichts zu einer konkreten, nicht nur unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten führen. Es müsse um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen.