Mit dieser Frage musste sich das Amtsgericht Hildesheim befassen und hat ein Unternehmen zur Zahlung von Schadensersatz in Höhe von 800,- € DSGVO wegen nicht erfolgter Löschung personenbezogener Daten verurteilt (Urteil vom 05.10.2020, Az. 43 C 145/19).
Hintergrund und Urteil
Der Kläger erwarb von der Beklagten einen neuen Desktop PC, der zwei Festplatten hatte. Der Kläger nahm den Computer in Betrieb und speicherte bereits kurz nach der Einrichtung des Betriebssystems private Daten auf einer der beiden Festplatten ab.
Wenig später kam es zu einem Mangel an dem Computer und der Kläger sandte die Hardware zurück an die Beklagte. Die auf der Festplatte abgespeicherten Daten löschte er nicht. Die Beklagte übersandte nach dem Retoureingang ein modellgleiches Gerät an den Kläger. Im Rahmen der Rückabwicklung gab die Beklagte verschiedene Hinweise:
„Weiterhin möchten wir Sie darauf hinweisen, dass bei Rückgabe von Geräten mit Speichermedien, der Urzustand wieder herzustellen ist. Die Löschung aufgespielter, vertraulicher und personenbezogener Daten liegt in ihrer Verantwortung.“
„Im Rahmen der Überprüfung bzw. Nachbesserung kann es zur Löschung der Daten auf dem Artikel kommen. Für einen Datenverlust übernehmen wir keine Haftung, es unterliegt vielmehr allein ihrer Verantwortung, für eine Datensicherung zu sorgen. Bitte beachten Sie, dass sie verantwortlich sind, das Gerät zurückgesetzt und ohne Passwörter zu übergeben oder uns alle erforderlichen Passwörter mitzuteilen.“
Nach Rückerhalt des PCs führte die Beklagte diesen der hausinternen Wiederaufbereitung zu. Der von dem Kläger retournierte PC wurde nach dem Durchlaufen des Wiederaufbereitungsprozesses an einen Dritten weiterveräußert. Hierbei wurde von den Mitarbeitern der Beklagten übersehen, dass auf einer der beiden Festplatten noch Daten des Klägers vorhanden waren. Diese Daten wurden vor der Weiterveräußerung demgemäß nicht gelöscht.
Der Erwerber konnte hierdurch die gespeicherten personenbezogenen Daten des Klägers (u. a. Steuererklärungen) einsehen.
Das AG Hildesheim verurteilte das Unternehmen zur Zahlung von 800,- € Schmerzensgeld nach Art. 82 Abs. 1 und 2 DSGVO in Verbindung mit § 253 Abs. 1 BGB.Die Beklagte hat vorliegend gegen die DSGVO verstoßen, da sie den von dem Kläger eingeschickten PC ohne dessen Einwilligung an einen Dritten veräußerte und damit die auf dem PC befindlichen Daten einem Dritten zugänglich machte. Die Beklagte hätte die Daten auf den Festplatten löschen müssen. Insoweit handelte die Beklagte auch fahrlässig.
Die Beklagte konnte sich auch nicht durch allgemeine Hinweise darauf berufen, dass bei der Rückgabe von Geräten mit Speichermedien der Urzustand wieder herzustellen sei und die Löschung aufgespielter, vertraulicher und personenbezogener Daten in der Verantwortung des Käufers bzw. Einsenders liege, und sich so ihrer Verantwortung für eine rechtmäßige Datenverarbeitung nach der DSGVO entheben. Die Verlagerung für die Verantwortung mit dem Umgang von Daten käme in dem vorliegenden Fall einem pauschalen Haftungsausschluss gleich. Ein präventiver Haftungsausschluss widerspricht jedoch dem Schutzzweck der DSGVO.
Auch wenn der Verkauf von Altgeräten nicht Gegenstand des eigenen Unternehmens sein sollte, so beinhaltet das Urteil jedoch ein Thema, das jedes Unternehmen betrifft.
Löschpflichten beachten
Auch wenn das Urteil für Außenstehende vielleicht wenig spektakulär erscheint und für Unternehmen selbstverständlich ist, dass Daten vor der Weiterveräußerung von den Festplatten gelöscht werden müssen, so sollte das Urteil vielleicht als Anlass genommen werden, sich als Verantwortlicher nochmals mit dem Thema „Löschen“ zu befassen.
Natürlich sind personenbezogene Daten von Altgeräten zu löschen, wenn diese verkauft werden. Aber auch vorher ist das Löschen von personenbezogenen Daten ein wichtiger Punkt.
Grundsätzlich dürfen personenbezogene Daten nur so lange verarbeitet werden, wie diese für die festgelegten Zwecke der Datenverarbeitung erforderlich sind. Demnach sind Daten der betroffenen Personen regelmäßig dann zu löschen, wenn der ursprüngliche Zweck ihrer Verarbeitung entfällt.
Es bestehen jedoch eine Reihe von Ausnahmeregelungen, die eine Speicherung über diesen Zeitpunkt hinaus rechtfertigen bzw. sogar zwingend erfordern. Insbesondere für personenbezogene Daten, die steuerrechtlich relevant sind, existieren gesetzliche Aufbewahrungsfristen, die zum Vorhalten der Daten verpflichten. In den datenschutzrechtlichen Bestimmungen selbst sind keine starren Fristen verankert. Insoweit obliegt es dem Verantwortlichen, angemessene Löschfristen umzusetzen, die den konkreten Umständen der Datenverarbeitung unter Berücksichtigung der Rechte und Freiheiten der Betroffenen Rechnung tragen. Vor diesem Hintergrund muss von dem Verantwortlichen im Wesentlichen begründet werden können, warum sich nach eigener Einschätzung für eine bestimmte Speicherdauer der Daten entschieden wurde.
Es empfiehlt sich die Erstellung eines Löschkonzeptes und die Implementierung von Löschroutinen entsprechend der im Löschkonzept definierten Löschfristen. Unter bestimmten Voraussetzungen kann anstatt einer Löschung auch eine Einschränkung der Datenverarbeitung erfolgen (z. B. Daten werden nur noch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt).
Schadensersatz an Betroffene
Das vorliegende Urteil kann zudem dazu genutzt werden, sich näher mit dem datenschutzrechtlichen Schadensersatzanspruch zu befassen. Diesem wird zumeist nicht allzu große Beachtung geschenkt. Dies liegt vermutlich auch daran, dass die bisher zugesprochenen Schadensersatzansprüche von der Höhe nicht mit der Höhe der Bußgelder mithalten können.
Art. 82 Abs. 1 DSGVO gewährt Betroffenen eine eigene unmittelbare Anspruchsgrundlage auf Schadensersatz. Nach der mit der DSGVO neu eingeführten Vorschrift hat jede Person, der aufgrund eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Ersatz dieses Schadens gegen den Verantwortlichen.
Nach Erwägungsgrund 146 der DSGVO soll der Begriff des Schadens weit ausgelegt werden. So ist auch das AG Hildesheim von einem weiten Schadensbegriff ausgegangen. Hinsichtlich der Höhe des Schmerzensgeldes hat das AG vorliegend berücksichtigt, dass der immaterielle Schadensersatzanspruch einen abschreckenden Charakter habe und dazu dienen solle, der DSGVO zu einer effektiven Geltung zu verhelfen.