LG Essen: Versendung eines USB-Sticks mit persönlichen Daten per einfachem Brief mit DSGVO vereinbar - Anspruch aus Art. 82 DSGVO kann abgetreten werden
LG Essen
Urteil vom 23.09.2021
6 O 190/21
Das LG Essen hat entschieden, dass die Versendung eines USB-Sticks mit persönlichen Daten per einfachem Brief mit den Vorgaben der DSGVO vereinbar ist. Zudem hat das Gericht entschieden, dass ein Anspruch aus Art. 82 DSGVO abgetreten werden kann.
Aus den Entscheidungsgründen:
Dem Kläger steht gegen die Beklagte der geltend gemachte immaterielle Schadensersatzanspruch aus keinem rechtlichen Gesichtspunkt zu.
a) Ein Anspruch des Klägers ergibt sich zunächst nicht aus Art. 82 Abs. 1 DSGVO.
Danach hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen i.S.d. DSGVO. Zwar ist der Kläger auch hinsichtlich der Ansprüche seiner Ehefrau aktivlegitimiert. Es liegt auch - zumindest hinsichtlich der fehlenden Mitteilung an die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW - ein Verstoß gegen die DSGVO vor. Der Kläger hat jedoch nicht hinreichend substantiiert dargetan, dass ihm ein erheblicher Schaden entstanden ist. Im Einzelnen:
aa) Der Kläger ist zunächst aktivlegitimiert. Für seinen eigenen Anspruch ist dies unproblematisch der Fall. Die Aktivlegitimation besteht darüber hinaus - entgegender Ansicht der Beklagten - auch hinsichtlich des Anspruchs seiner Ehefrau.
Aufgrund des Abtretungsvertrags vom 06.06.2021 (Anlage K 5, Bl. 20 d. A.) ist der Kläger Forderungsinhaber geworden, § 398 BGB.
Grundsätzlich ist jede Forderung abtretbar (vgl. Grüneberg in: Palandt, 80. Aufl. 2021, § 398 BGB Rn. 8); insbesondere auch Schmerzensgeldansprüche (vgl. Grüneberg in: Palandt, 80. Aufl. 2021, § 253 BGB Rn. 22). Ein Abtretungsverbot nach §§ 399, 400 BGB besteht nicht. Die vermeintliche Forderung der Ehefrau des Klägers gegen die Beklagte unterliegt weder der Pfändung (§ 400 BGB) noch wurde die Abtretung durch Vereinbarung ausgeschlossen oder erfordert die Abtretung eine Inhaltsänderung der Leistung (§ 399 BGB).
Die Abtretung ist zudem wirksam, insbesondere ist sie hinreichend bestimmt. Dabei genügt es, wenn im Zeitpunkt des Entstehens der Forderung bestimmbar ist, ob sie von der Abtretung erfasst wird (vgl. Grüneberg in: Palandt, 80. Aufl. 2021, § 398 BGB Rn. 14). Das ist hier der Fall. In dem Abtretungsvertrag ist unter Ziffer 1 das Rechtsverhältnis, aus dem sich etwaige Ansprüche ergeben können, hinreichend bestimmt bezeichnet. Dort heißt es, dass dem Zedenten aus einer datenschutzrechtlichen Verletzung Schadensersatzansprüche gegen die [xxx] - die hiesige Beklagte - in einer noch durch ein Gericht festzulegenden Höhe zustehen. Zudem wird der Grund des Schadensersatzanspruchs noch näher beschrieben; nämlich der Verlust eines USB-Sticks mit umfangreichen persönlichen und sensiblen Daten.
bb) Der Beklagten ist ein Verstoß gegen Art. 33 DSGVO vorzuwerfen - unterstellt, der USB-Stick ist tatsächlich verloren gegangen.
Gemäß Art. 33 Abs. 1 DSGVO meldet der Verantwortliche im Falle einer Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Die erforderlichen zu meldenden Informationen ergeben sich aus Art. 33 Abs. 3 DSGVO. Eine solche Meldung ist indes - unstreitig - nicht erfolgt. Unerheblich ist dabei, dass der Kläger und seine Ehefrau als Betroffene bereits Kenntnis von dem vermeintlichen Datenverlust hatten, da sie ihn selbst gemeldet haben.
Denn die Meldepflicht dient zum einen der Minimierung der negativen Auswirkungen von Datenschutzverletzungen durch Publizität gegenüber der Aufsichtsbehörde (und dem Betroffenen). Gleichzeitig gewährt die Vorschrift so vorbeugenden Schutz der informationellen Selbstbestimmung des Betroffenen, indem sie Anreize zur Vermeidung zukünftiger Verletzungen beim Verantwortlichen setzt. Die Vorschrift dient also nicht nur dem Schutz des Betroffenen. Die Meldung gegenüber der Aufsichtsbehörde ermöglicht es dieser, über Maßnahmen zur Eindämmung und Ahndung der Rechtsverletzung zu entscheiden (vgl. BeckOK DatenschutzR/Brink, 37. Ed. 1.11.2019 Rn. 10, DS-GVO Art. 33 Rn. 10). Insofern genügt bereits ein solch formeller Verstoß gegen die DSGVO zur Begründung eines Schadensersatzanspruches dem Grunde nach (BeckOK DatenschutzR/Quaas, 37. Ed. 1.8.2021, DS-GVO Art. 82 Rn. 14).
Zudem liegt ein Verstoß gegen Art. 34 Abs. 2 DSGVO vor. Zwar ist der Beklagten insofern zuzustimmen, als sie selbst erst durch den Kläger bzw. seine Ehefrau von dem vermeintlichen Datenverlust informiert wurde. Die Informationspflichten des Art. 34 DSGVO sehen über die reine Information über den Datenverlust selbst hinaus jedoch vor, dass die in Art. 33 Abs. 3 lit. b- d DSGVO genannten Informationen und Maßnahmen auch dem Betroffenen - hier dem Kläger und seiner Ehefrau - mitgeteilt werden. Dies ist jedoch - unstreitig - nicht erfolgt.
cc) Dagegen liegt kein Verstoß gegen Art. 24, 25 Abs. 1, 32 DSGVO vor.
Danach hat der Verantwortliche i.S.d. DSGVO unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit
und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen und umzusetzen, um sicherzustellen, dass die Verarbeitung gemäß der DSGVO erfolgt und die Rechte der betroffenen Personen geschützt werden. In Art. 25 Abs. 1 und Art. 32 Abs. 1 DSGVO werden dafür exemplarisch die Pseudonymisierung und Verschlüsselung personenbezogener Daten genannt. Ein Verstoß der Beklagten liegt indes nicht vor.
Die Kammer konnte kein Fehlverhalten im Haus der Beklagten feststellen. Dabei ist zunächst zu berücksichtigen, dass der vermeintliche Verlust der Daten jedenfalls nicht im Haus der Beklagten erfolgt ist. Dies wird auch von Klägerseite nicht behauptet. Vielmehr soll der USB-Stick auf dem Postversand verloren gegangen sein.
Die Kammer sieht zudem keinen Grund, weshalb die Beklagte den USB-Stick nicht per einfachem Brief an den Kläger und seine Ehefrau hätte versenden dürfen. Zwar waren auf dem USB-Stick Dokumente mit sensiblen persönlichen und wirtschaftlichen Informationen enthalten. Dies ist jedoch kein Grund, nicht den Service der Deutschen Post nutzen zu dürfen. Von verschiedensten Stellen werden ausgedruckte Dokumente mit sensiblen Informationen, z.B. Steuerbescheide, Schreiben von Anwälten und Steuerberatern o.Ä., mit einfacher Post versandt. Hiergegen ist ebenfalls nichts einzuwenden; eine irgendwie geartete Pflichtverletzung der handelnden Stellen ist nicht ersichtlich. Weshalb zwischen ausgedruckten Dokumenten, die naturgemäß unverschlüsselt übersandt werden, und digitalen Dokumenten auf einem unverschlüsselten USB-Stick im Zuge der postalischen Übermittlung unterschieden werden soll, erschließt sich der Kammer nicht.
Die Beklagte war zudem nicht gehalten, den USB-Stick in einem gepolsterten Umschlag zu versenden. Bei dem USB-Stick handelt es sich weder um einen leicht zu beschädigenden Gegenstand, der vor äußeren Einwirkungen geschützt werden müsste, noch musste die Beklagte davon auszugehen, dass ein USB-Stick als relativ leichter Gegenstand ohne scharfe Kanten den Briefumschlag von innen heraus zerstören könnte.
Ferner bestand keine Verpflichtung der Beklagten, den USB-Stick dem Kläger oder seiner Verlobten persönlich zu übergeben. Unstreitig wurde dies nicht durch den Kläger oder seine Ehefrau gefordert. Zudem bestand für die Beklagte - wie bereits ausgeführt - keine Veranlassung, an dem zuverlässigen Versand durch die Deutsche Post zu zweifeln.
dd) Der Kläger hat jedoch ohnehin nicht hinreichend substantiiert dargetan, dass ihm und seiner Ehefrau ein konkreter immaterieller Schaden entstanden ist.
Für den - hier geltend gemachten - immateriellen Schadensersatz gelten dabei die im Rahmen von § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO (BeckOK DatenschutzR/Quaas, 32. Ed. 1.2.2020, DS-GVO Art. 82 Rn. 31). Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DSGVO herangezogen werden, bspw. die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insbesondere wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren (BeckOK DatenschutzR/Quaas, 32. Ed. 1.2.2020, DS-GVO Art. 82 Rn. 31) (vgl. LG Köln, Urteil vom 07.10.2020 - 28 O 71/20). Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht nur auf schwere Schäden beschränkt (vgl. LG Landshut, Urteil vom 06.11.2020 - 51 O 513/20).
Allein die - etwaige - Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten, nicht nur unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben (vgl. LG Hamburg, Urteil vom 04.09.2020 - 324 S 9/19). Es ist zwar eine schwere Verletzung des Persönlichkeitsrechts nicht (mehr) erforderlich. Andererseits ist auch weiterhin nicht für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen (vgl. LG Landshut, Urteil vom 06.11.2020 - 51 O 513/20).
Gemessen an diesen Grundsätzen kann die Kammer anhand des klägerischen Vortrags spürbare Beeinträchtigung von persönlichen Belangen des Klägers und seiner Ehefrau in keiner Weise feststellen.
Der Kläger hat lediglich vorgetragen, dass er und seine Ehefrau infolge des vermeintlichen Verlustes des USB-Sticks einen Kontrollverlust erlitten hätten. Weiter wird dies indes nicht ausgeführt. Die Kammer hat dabei berücksichtigt, dass der Verlust eines USB-Sticks, auf dem sich ungesicherte persönliche und wirtschaftliche Informationen befinden, durchaus zu einem „unguten Gefühl“ führen kann. Der Kläger hat jedoch in keiner Weise vorgetragen, inwiefern sich für ihn bzw. seine Ehefrau eine ernsthafte Beeinträchtigung ergeben hat. Negative Auswirkungen des Verlustes haben sich nicht gezeigt -zumindest wurden sie weder vorgetragen noch ergeben sie sich aus den sonstigen Umständen des Falles. Es ist zudem völlig unklar, was mit dem USB-Stick passiert ist - unterstellt, er ist tatsächlich abhandengekommen. Negative Auswirkungen des behaupteten Verlustes - etwa in Form eines Identitätsdiebstahls oder ähnliches - müssten der Kläger und seine Ehefrau allenfalls befürchten, wenn der USB-Stick in die Hände eines Dritten gelangt ist. Ob das der Fall ist, ist völlig unklar. Genauso gut ist es möglich, dass der USB-Stick bei der Verarbeitung der Briefe im Bereich der Deutschen Post zerstört oder beschädigt wurde. Im klägerischen Schriftsatz vom 15.09.2021 ist die Rede von einer walzen- und rollenbetriebenen Sortieranlage der Deutschen Post. Insofern ist es durchaus wahrscheinlich, dass ein USB-Stick in dieser Sortieranlage beschädigt werden kann. In diesem Fall wäre es somit ausgeschlossen, dass ein unbefugter Dritter überhaupt an die Daten des Klägers und seiner Ehefrau gelangen könnte.
Dieses Ergebnis steht nicht im Widerspruch zu der Entscheidung des Bundesverfassungsgerichts vom 14.01.2021 (1 BvR 2853/19), in der es um die‚ Ablehnung eines immateriellen Schadensersatzanspruchs wegen fehlender Erheblichkeit ging, was „weder unmittelbar in der DSGVO angelegt [sei], noch von der Literatur befürwortet oder vom Gerichtshof der Europäischen Union verwendet [werde]. Denn im vorliegenden Fall wurde nicht einmal eine spürbare Beeinträchtigung des Klägers und seiner Ehefrau vorgetragen. Über die Frage der Erheblichkeit musste die Kammer daher nicht entscheiden.
Im Übrigen hält die Kammer das Vorgehen des Klägers, außergerichtlich zunächst einen niedrigeren Schmerzensgeldbetrag zu fordern, unter Androhung, den Betrag zu erhöhen, falls ein gerichtliches Verfahren erforderlich werde, für äußerst befremdlich. Generell ist der vom Kläger geforderte Betrag deutlich übersetzt, wie insbesondere ein Vergleich mit Schmerzensgeldansprüchen wegen Körperverletzungen verdeutlicht, was insgesamt ein überbordendes Gewinnstreben des Klägers aufzeigt, hingegen nicht, dass er sich durch die behaupteten Vorgänge in irgendeiner Art und Weise persönlich beeinträchtigt sieht.
b) Ein Anspruch des Klägers folgt ferner nicht aus Schadensersatzgesichtspunkten. Sowohl vorvertragliche Schadensersatzansprüche (§§ 280 Abs. 1, 311 Abs. 2, 241 Abs. 2, 253 Abs. 2 BGB) als auch deliktische Schadensersatzansprüche wegen einer möglichen Verletzung des allgemeinen Persönlichkeitsrechts (§§ 823 Abs. 1, 253 Abs. 2 BGB i.V.m. Art. 2 Abs. 1 und Art. 1 Abs. 1 GG) erfordern den Eintritt eines immateriellen Schadens, den der Kläger nicht schlüssig dargelegt hat. Insofern wird auf die obigen Ausführungen Bezug genommen, die hier sinngemäß gelten.
Den Volltext der Entscheidung finden Sie hier:
Urteil vom 23.09.2021
6 O 190/21
Das LG Essen hat entschieden, dass die Versendung eines USB-Sticks mit persönlichen Daten per einfachem Brief mit den Vorgaben der DSGVO vereinbar ist. Zudem hat das Gericht entschieden, dass ein Anspruch aus Art. 82 DSGVO abgetreten werden kann.
Aus den Entscheidungsgründen:
Dem Kläger steht gegen die Beklagte der geltend gemachte immaterielle Schadensersatzanspruch aus keinem rechtlichen Gesichtspunkt zu.
a) Ein Anspruch des Klägers ergibt sich zunächst nicht aus Art. 82 Abs. 1 DSGVO.
Danach hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadensersatz gegen den Verantwortlichen i.S.d. DSGVO. Zwar ist der Kläger auch hinsichtlich der Ansprüche seiner Ehefrau aktivlegitimiert. Es liegt auch - zumindest hinsichtlich der fehlenden Mitteilung an die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW - ein Verstoß gegen die DSGVO vor. Der Kläger hat jedoch nicht hinreichend substantiiert dargetan, dass ihm ein erheblicher Schaden entstanden ist. Im Einzelnen:
aa) Der Kläger ist zunächst aktivlegitimiert. Für seinen eigenen Anspruch ist dies unproblematisch der Fall. Die Aktivlegitimation besteht darüber hinaus - entgegender Ansicht der Beklagten - auch hinsichtlich des Anspruchs seiner Ehefrau.
Aufgrund des Abtretungsvertrags vom 06.06.2021 (Anlage K 5, Bl. 20 d. A.) ist der Kläger Forderungsinhaber geworden, § 398 BGB.
Grundsätzlich ist jede Forderung abtretbar (vgl. Grüneberg in: Palandt, 80. Aufl. 2021, § 398 BGB Rn. 8); insbesondere auch Schmerzensgeldansprüche (vgl. Grüneberg in: Palandt, 80. Aufl. 2021, § 253 BGB Rn. 22). Ein Abtretungsverbot nach §§ 399, 400 BGB besteht nicht. Die vermeintliche Forderung der Ehefrau des Klägers gegen die Beklagte unterliegt weder der Pfändung (§ 400 BGB) noch wurde die Abtretung durch Vereinbarung ausgeschlossen oder erfordert die Abtretung eine Inhaltsänderung der Leistung (§ 399 BGB).
Die Abtretung ist zudem wirksam, insbesondere ist sie hinreichend bestimmt. Dabei genügt es, wenn im Zeitpunkt des Entstehens der Forderung bestimmbar ist, ob sie von der Abtretung erfasst wird (vgl. Grüneberg in: Palandt, 80. Aufl. 2021, § 398 BGB Rn. 14). Das ist hier der Fall. In dem Abtretungsvertrag ist unter Ziffer 1 das Rechtsverhältnis, aus dem sich etwaige Ansprüche ergeben können, hinreichend bestimmt bezeichnet. Dort heißt es, dass dem Zedenten aus einer datenschutzrechtlichen Verletzung Schadensersatzansprüche gegen die [xxx] - die hiesige Beklagte - in einer noch durch ein Gericht festzulegenden Höhe zustehen. Zudem wird der Grund des Schadensersatzanspruchs noch näher beschrieben; nämlich der Verlust eines USB-Sticks mit umfangreichen persönlichen und sensiblen Daten.
bb) Der Beklagten ist ein Verstoß gegen Art. 33 DSGVO vorzuwerfen - unterstellt, der USB-Stick ist tatsächlich verloren gegangen.
Gemäß Art. 33 Abs. 1 DSGVO meldet der Verantwortliche im Falle einer Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Die erforderlichen zu meldenden Informationen ergeben sich aus Art. 33 Abs. 3 DSGVO. Eine solche Meldung ist indes - unstreitig - nicht erfolgt. Unerheblich ist dabei, dass der Kläger und seine Ehefrau als Betroffene bereits Kenntnis von dem vermeintlichen Datenverlust hatten, da sie ihn selbst gemeldet haben.
Denn die Meldepflicht dient zum einen der Minimierung der negativen Auswirkungen von Datenschutzverletzungen durch Publizität gegenüber der Aufsichtsbehörde (und dem Betroffenen). Gleichzeitig gewährt die Vorschrift so vorbeugenden Schutz der informationellen Selbstbestimmung des Betroffenen, indem sie Anreize zur Vermeidung zukünftiger Verletzungen beim Verantwortlichen setzt. Die Vorschrift dient also nicht nur dem Schutz des Betroffenen. Die Meldung gegenüber der Aufsichtsbehörde ermöglicht es dieser, über Maßnahmen zur Eindämmung und Ahndung der Rechtsverletzung zu entscheiden (vgl. BeckOK DatenschutzR/Brink, 37. Ed. 1.11.2019 Rn. 10, DS-GVO Art. 33 Rn. 10). Insofern genügt bereits ein solch formeller Verstoß gegen die DSGVO zur Begründung eines Schadensersatzanspruches dem Grunde nach (BeckOK DatenschutzR/Quaas, 37. Ed. 1.8.2021, DS-GVO Art. 82 Rn. 14).
Zudem liegt ein Verstoß gegen Art. 34 Abs. 2 DSGVO vor. Zwar ist der Beklagten insofern zuzustimmen, als sie selbst erst durch den Kläger bzw. seine Ehefrau von dem vermeintlichen Datenverlust informiert wurde. Die Informationspflichten des Art. 34 DSGVO sehen über die reine Information über den Datenverlust selbst hinaus jedoch vor, dass die in Art. 33 Abs. 3 lit. b- d DSGVO genannten Informationen und Maßnahmen auch dem Betroffenen - hier dem Kläger und seiner Ehefrau - mitgeteilt werden. Dies ist jedoch - unstreitig - nicht erfolgt.
cc) Dagegen liegt kein Verstoß gegen Art. 24, 25 Abs. 1, 32 DSGVO vor.
Danach hat der Verantwortliche i.S.d. DSGVO unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit
und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen und umzusetzen, um sicherzustellen, dass die Verarbeitung gemäß der DSGVO erfolgt und die Rechte der betroffenen Personen geschützt werden. In Art. 25 Abs. 1 und Art. 32 Abs. 1 DSGVO werden dafür exemplarisch die Pseudonymisierung und Verschlüsselung personenbezogener Daten genannt. Ein Verstoß der Beklagten liegt indes nicht vor.
Die Kammer konnte kein Fehlverhalten im Haus der Beklagten feststellen. Dabei ist zunächst zu berücksichtigen, dass der vermeintliche Verlust der Daten jedenfalls nicht im Haus der Beklagten erfolgt ist. Dies wird auch von Klägerseite nicht behauptet. Vielmehr soll der USB-Stick auf dem Postversand verloren gegangen sein.
Die Kammer sieht zudem keinen Grund, weshalb die Beklagte den USB-Stick nicht per einfachem Brief an den Kläger und seine Ehefrau hätte versenden dürfen. Zwar waren auf dem USB-Stick Dokumente mit sensiblen persönlichen und wirtschaftlichen Informationen enthalten. Dies ist jedoch kein Grund, nicht den Service der Deutschen Post nutzen zu dürfen. Von verschiedensten Stellen werden ausgedruckte Dokumente mit sensiblen Informationen, z.B. Steuerbescheide, Schreiben von Anwälten und Steuerberatern o.Ä., mit einfacher Post versandt. Hiergegen ist ebenfalls nichts einzuwenden; eine irgendwie geartete Pflichtverletzung der handelnden Stellen ist nicht ersichtlich. Weshalb zwischen ausgedruckten Dokumenten, die naturgemäß unverschlüsselt übersandt werden, und digitalen Dokumenten auf einem unverschlüsselten USB-Stick im Zuge der postalischen Übermittlung unterschieden werden soll, erschließt sich der Kammer nicht.
Die Beklagte war zudem nicht gehalten, den USB-Stick in einem gepolsterten Umschlag zu versenden. Bei dem USB-Stick handelt es sich weder um einen leicht zu beschädigenden Gegenstand, der vor äußeren Einwirkungen geschützt werden müsste, noch musste die Beklagte davon auszugehen, dass ein USB-Stick als relativ leichter Gegenstand ohne scharfe Kanten den Briefumschlag von innen heraus zerstören könnte.
Ferner bestand keine Verpflichtung der Beklagten, den USB-Stick dem Kläger oder seiner Verlobten persönlich zu übergeben. Unstreitig wurde dies nicht durch den Kläger oder seine Ehefrau gefordert. Zudem bestand für die Beklagte - wie bereits ausgeführt - keine Veranlassung, an dem zuverlässigen Versand durch die Deutsche Post zu zweifeln.
dd) Der Kläger hat jedoch ohnehin nicht hinreichend substantiiert dargetan, dass ihm und seiner Ehefrau ein konkreter immaterieller Schaden entstanden ist.
Für den - hier geltend gemachten - immateriellen Schadensersatz gelten dabei die im Rahmen von § 253 BGB entwickelten Grundsätze; die Ermittlung obliegt dem Gericht nach § 287 ZPO (BeckOK DatenschutzR/Quaas, 32. Ed. 1.2.2020, DS-GVO Art. 82 Rn. 31). Es können für die Bemessung die Kriterien des Art. 83 Abs. 2 DSGVO herangezogen werden, bspw. die Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie die betroffenen Kategorien personenbezogener Daten. Zu berücksichtigen ist auch, dass die beabsichtigte abschreckende Wirkung nur durch für den Anspruchsverpflichtenden empfindliche Schmerzensgelder erreicht wird, insbesondere wenn eine Kommerzialisierung fehlt. Ein genereller Ausschluss von Bagatellfällen ist damit nicht zu vereinbaren (BeckOK DatenschutzR/Quaas, 32. Ed. 1.2.2020, DS-GVO Art. 82 Rn. 31) (vgl. LG Köln, Urteil vom 07.10.2020 - 28 O 71/20). Die Pflicht zur Erstattung immaterieller Schäden ist daher nicht nur auf schwere Schäden beschränkt (vgl. LG Landshut, Urteil vom 06.11.2020 - 51 O 513/20).
Allein die - etwaige - Verletzung des Datenschutzrechts als solche begründet allerdings nicht bereits für sich gesehen einen Schadensersatzanspruch für betroffene Personen. Die Verletzungshandlung muss in jedem Fall auch zu einer konkreten, nicht nur unbedeutenden oder empfundenen Verletzung von Persönlichkeitsrechten der betroffenen Personen geführt haben (vgl. LG Hamburg, Urteil vom 04.09.2020 - 324 S 9/19). Es ist zwar eine schwere Verletzung des Persönlichkeitsrechts nicht (mehr) erforderlich. Andererseits ist auch weiterhin nicht für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für jede bloß individuelle empfundene Unannehmlichkeit ein Schmerzensgeld zu gewähren; vielmehr muss dem Betroffenen ein spürbarer Nachteil entstanden sein und es muss um eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gehen (vgl. LG Landshut, Urteil vom 06.11.2020 - 51 O 513/20).
Gemessen an diesen Grundsätzen kann die Kammer anhand des klägerischen Vortrags spürbare Beeinträchtigung von persönlichen Belangen des Klägers und seiner Ehefrau in keiner Weise feststellen.
Der Kläger hat lediglich vorgetragen, dass er und seine Ehefrau infolge des vermeintlichen Verlustes des USB-Sticks einen Kontrollverlust erlitten hätten. Weiter wird dies indes nicht ausgeführt. Die Kammer hat dabei berücksichtigt, dass der Verlust eines USB-Sticks, auf dem sich ungesicherte persönliche und wirtschaftliche Informationen befinden, durchaus zu einem „unguten Gefühl“ führen kann. Der Kläger hat jedoch in keiner Weise vorgetragen, inwiefern sich für ihn bzw. seine Ehefrau eine ernsthafte Beeinträchtigung ergeben hat. Negative Auswirkungen des Verlustes haben sich nicht gezeigt -zumindest wurden sie weder vorgetragen noch ergeben sie sich aus den sonstigen Umständen des Falles. Es ist zudem völlig unklar, was mit dem USB-Stick passiert ist - unterstellt, er ist tatsächlich abhandengekommen. Negative Auswirkungen des behaupteten Verlustes - etwa in Form eines Identitätsdiebstahls oder ähnliches - müssten der Kläger und seine Ehefrau allenfalls befürchten, wenn der USB-Stick in die Hände eines Dritten gelangt ist. Ob das der Fall ist, ist völlig unklar. Genauso gut ist es möglich, dass der USB-Stick bei der Verarbeitung der Briefe im Bereich der Deutschen Post zerstört oder beschädigt wurde. Im klägerischen Schriftsatz vom 15.09.2021 ist die Rede von einer walzen- und rollenbetriebenen Sortieranlage der Deutschen Post. Insofern ist es durchaus wahrscheinlich, dass ein USB-Stick in dieser Sortieranlage beschädigt werden kann. In diesem Fall wäre es somit ausgeschlossen, dass ein unbefugter Dritter überhaupt an die Daten des Klägers und seiner Ehefrau gelangen könnte.
Dieses Ergebnis steht nicht im Widerspruch zu der Entscheidung des Bundesverfassungsgerichts vom 14.01.2021 (1 BvR 2853/19), in der es um die‚ Ablehnung eines immateriellen Schadensersatzanspruchs wegen fehlender Erheblichkeit ging, was „weder unmittelbar in der DSGVO angelegt [sei], noch von der Literatur befürwortet oder vom Gerichtshof der Europäischen Union verwendet [werde]. Denn im vorliegenden Fall wurde nicht einmal eine spürbare Beeinträchtigung des Klägers und seiner Ehefrau vorgetragen. Über die Frage der Erheblichkeit musste die Kammer daher nicht entscheiden.
Im Übrigen hält die Kammer das Vorgehen des Klägers, außergerichtlich zunächst einen niedrigeren Schmerzensgeldbetrag zu fordern, unter Androhung, den Betrag zu erhöhen, falls ein gerichtliches Verfahren erforderlich werde, für äußerst befremdlich. Generell ist der vom Kläger geforderte Betrag deutlich übersetzt, wie insbesondere ein Vergleich mit Schmerzensgeldansprüchen wegen Körperverletzungen verdeutlicht, was insgesamt ein überbordendes Gewinnstreben des Klägers aufzeigt, hingegen nicht, dass er sich durch die behaupteten Vorgänge in irgendeiner Art und Weise persönlich beeinträchtigt sieht.
b) Ein Anspruch des Klägers folgt ferner nicht aus Schadensersatzgesichtspunkten. Sowohl vorvertragliche Schadensersatzansprüche (§§ 280 Abs. 1, 311 Abs. 2, 241 Abs. 2, 253 Abs. 2 BGB) als auch deliktische Schadensersatzansprüche wegen einer möglichen Verletzung des allgemeinen Persönlichkeitsrechts (§§ 823 Abs. 1, 253 Abs. 2 BGB i.V.m. Art. 2 Abs. 1 und Art. 1 Abs. 1 GG) erfordern den Eintritt eines immateriellen Schadens, den der Kläger nicht schlüssig dargelegt hat. Insofern wird auf die obigen Ausführungen Bezug genommen, die hier sinngemäß gelten.
Den Volltext der Entscheidung finden Sie hier:
Trackbacks
Keine Trackbacks
Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt