Eine mangelhafte Datenlöschung auf einem retourniertem und dann erneut verkauftem PC führt zu einem Anspruch auf Schmerzensgeld. So urteilte das AG Hildesheim am 05.10.2020 (Az.: 43 C 145/19).
Unachtsamkeit führt zu Verletzung der DSGVO
Dem Käufer eines PC (nachfolgend: Kläger), der diesen wegen Mängeln an die verkaufende Firma (nachfolgend: Beklagte) zurückgab und dabei nicht alle Daten löschte, wurde vom AG Hildesheim wegen fehlender Datenlöschung ein DSGVO-Schmerzensgeld i.H.v. 800,- € zugesprochen, nachdem die Beklagte den PC nach der Aufbereitung mit den Daten des Vorbesitzers erneut verkaufte.
Der Kläger hatte den PC nach einem Mangel retourniert. Zuvor hatte er mit ihm gearbeitet und dabei wesentliche Daten aufgespielt. Im Zuge der Retour wurde er von der Beklagten darauf hingewiesen, dass er seine Daten eigenverantwortlich zu löschen habe. Der Kläger konnte jedoch nicht alle Daten löschen, weil der PC nicht mehr zu starten war. Das war der Grund für die Retour. Die Beklagte wies den Kläger gleichfalls darauf hin, dass sie selbst alle noch vorhandenen persönlichen Daten löschen werde.
Dieser Hinweis erfolgte vorrangig im Hinblick auf einen möglichen Datenverlust, falls der Kläger seine Daten nicht an anderer Stelle gesichert habe. Die Beklagte setzte den PC nach der Rückgabe instand und bereitete ihn für einen erneuten Verkauf auf. Zu diesem Vorgang gehört eine Überprüfung auf eventuell noch vorhandene Daten des Vorbesitzers. Bei dieser Überprüfung übersah ein Mitarbeiter der Beklagten noch vorhandene Vorbesitzerdaten.
Der PC wurde nach der Instandsetzung erneut verkauft. Der neue Käufer (Zeuge H) entdeckte die Daten des Vorbesitzers und kontaktierte diesen daraufhin. Nachfolgend kam es zur Schmerzensgeldforderung des Klägers gegenüber der Beklagten.
Vergessene Datenlöschung führt zu Schmerzensgeld
Das AG Hildesheim sprach dem Kläger 800,- € Schmerzensgeld wegen eines Verstoßes gegen die DSGVO zu. Der Zeuge H hatte auf dem PC private Fotos des Klägers, eine Rechnung und dessen Steuererklärung entdeckt.
Die Beklagte hatte dem Schmerzensgeldanspruch mit Verweis auf ihre Hinweise zur Retour widersprochen. Insbesondere berief sie sich auf den Hinweis zur eigenverantwortlichen Datenlöschung.
Das AG Hildesheim stellte dennoch einen Schmerzensgeldanspruch nach Artikel 82 Absätze 1, 2 DSGVO i.V.m. § 253 I BGB fest. Artikel 82 DSDVO stellt den grundsätzlichen Anspruch auf Schadenersatz bei materiellen oder immateriellen Schäden durch Datenschutzverstöße fest. Dem stünde bestenfalls höhere Gewalt oder ein grob fahrlässiges Klägerverhalten entgegen. In solchen Fällen sieht der Artikel 82 Abs. 3 DSGVO eine Haftungsbefreiung vor.
Beides war nicht der Fall: Höhere Gewalt lag nicht vor, vielmehr hatte ein Mitarbeiter der Beklagten die Daten übersehen. Der Kläger hatte nicht fahrlässig gehandelt, da er den PC zwecks Datenlöschung nicht mehr starten konnte. Fahrlässig hatte vielmehr die Beklagte gehandelt.
Damit hat sie nach Auffassung des AG Hildesheim Grundsätze der DSGVO verletzt. Das Urteil beruhte auf nicht rechtmäßiger Datenverarbeitung und der Verantwortung der Beklagten nach
- Artikel 4 Nr. 2 DSGVO,
- Artikel 6 Abs. 1 S. 1 a) DSGVO und
- Artikel 4 Abs. 7 DSGVO.
Allgemeine Hinweise zur Datenlöschung in der Verantwortung des Vorbesitzers stellen die Beklagte nicht von ihrer Verantwortung frei. Einen solchen pauschalen Haftungsausschluss sieht die DSGVO gerade nicht vor.