Eine Computer-Firma, die auf gebrauchten Geräten, die sie von ihren Kunden zurückgesendet bekommt, die personenbezogenen Daten nicht vor einem Weiterverkauf löscht, verstößt gegen die DSGVO und muss einen Schadensersatz iHv. 800,- EUR nach Art. 82 DSGVO zahlen (AG Hildesheim, Urt. v. 05.10.2020 - Az.: 43 C 145/19).
Der Kläger erwarb bei der Beklagten einen neuen PC. Im Rahmen der Nutzung speicherte er auf den Festplatten auch personenbezogene Daten.
Es kam dann zu einem Mangel am Computer, sodass der Kläger die Hardware zurücksandte und neue erhielt. Im Rahmen des Austauschs erteilte die Beklagte mehrfach Hinweise:
"Weiterhin möchten wir Sie darauf hinweisen, dass bei Rückgabe von Geräten mit Speichermedien, der Urzustand wieder herzustellen ist. Die Löschung aufgespielter, vertraulicher und personenbezogener Daten liegt in ihrer Verantwortung."
Und:
"Im Rahmen der Überprüfung bzw. Nachbesserung kann es zur Löschung der Daten auf dem Artikel kommen. Für einen Datenverlust übernehmen wir keine Haftung, es unterliegt vielmehr allein ihrer Verantwortung, für eine Datensicherung zu sorgen. Bitte beachten Sie, dass sie verantwortlich sind, das Gerät zurückgesetzt und ohne Passwörter zu übergeben oder uns alle erforderlichen Passwörter mitzuteilen."
Die gebrauchten Festplatten veräußerte die Beklagte an einen Dritten, jedoch ohne diese vorher zu formatieren. Der Erwerber des gebrauchten Artikel konnte dadurch die gespeicherten personenbezogenen Daten des Klägers (u.a. Fotos, Steuererklärung) einsehen.
Das AG Hildesheim verurteilte das Unternehmen zur Zahlung von 800,- EUR DSGVO-Schadensersatz.
Die Beklagte hätte nach Rücknahme der Hardware die Daten auf den Festplatten löschen müssen, bevor sie diese weiterveräußerte, so das Gericht. Da sie dies unterlassen habe, habe sie fahrlässig gehandelt.
Durch die erfolgten Hinweise der Beklagten an den Kläger ergebe sich keine Änderung der Rechtslage:
"Die Beklagte konnte sich durch allgemeine Hinweise darauf, dass bei der Rückgabe von Geräten mit Speichermedien der Urzustand wieder herzustellen sei und die Löschung aufgespielter, vertraulicher und personenbezogener Daten in der Verantwortung des Käufers bzw. Einsenders liege, ihrer Verantwortung für eine rechtmäßige Datenverarbeitung nach der DSGVO nicht entheben.
Die Verlagerung für die Verantwortung mit dem Umgang von Daten käme in dem vorliegenden Fall einem pauschalen Haftungsausschluss gleich. Ein präventiver Haftungsausschluss widerspricht jedoch dem Schutzzweck der DSGVO.
Die Beklagte ist auch nicht nach Art. 82 Abs. 3 DSGVO von der Haftung befreit. Denn dies wäre nur dann der Fall, wenn der Beklagten auch nicht die geringste Fahrlässigkeit vorzuwerfen wäre, etwa dann, wenn der Schaden ausschließlich auf ein Verhalten des Klägers oder auf höhere Gewalt zurückzuführen ist (vgl. Paal, a.a.O., 17 - beckonline). Dies ist augenscheinlich nicht der Fall, da die Beklagte selbst vorbringt, die im Rahmen der Wiederaufbereitung unzureichend durchgeführte Datenlöschung beruhe auf einem menschlichen Versehen und der verantwortliche Mitarbeiter sei zur verstärkten Sorgsamkeit gemahnt worden."
Hinsichtlich der konkreten Höhe des Schadensersatzes führt das Gericht aus:
"Das Gericht hält ein Schmerzensgeld in der erkannten Höhe für ausreichend aber auch angemessen, um den immateriellen Schaden des Klägers aufzuwiegen. Das Gericht berücksichtigt hierbei die Ausgleichs- und Genugtuungsfunktion des Schmerzensgeldes.
In die Abwägung bezüglich der Höhe des Schmerzensgeldes hat das Gericht namentlich eingestellt, dass immaterielle Schadensersatzansprüche im vorliegenden Fall einen abschreckenden Charakter haben und dazu dienen sollen, der DSGVO zu einer effektiven Geltung zu verhelfen. Daneben war auf die Art. die Schwere und die Dauer des Verstoßes, den Grad des Verschuldens, die Maßnahmen zur Minderung bzw. Verhinderung des Schadens, frühere einschlägige Verstöße der Beklagten und den Umfang der geleisteten Aufklärungsarbeit der Beklagten abzustellen."