Schadensersatz bei Datenschutz-Verstößen soll abschreckend sein
Unternehmen, Behörden und Arbeitgeber sammeln Daten von Verbrauchern, verarbeiten sie, nutzen sie für ihre Zwecke und verdienen damit oft auch Geld. Nur mit dem Schutz der Daten wird oftmals leichtfertig umgegangen, so dass es zu Verstößen gegen datenschutzrechtliche Normen kommt. Der vorliegende Fall ist ein Hinweis dafür, dass Unternehmen beim Weiterverkauf von Computern die Daten auf der Festplatten sicher löschen müssen:
- Der Kläger erwarb bei der Beklagten einen neuen PC. Im Rahmen der Nutzung speicherte er auf der Festplatte auch personenbezogene Daten. Es kam dann zu einem Mangel am Computer, sodass der Kläger die Hardware zurücksandte und eine neue erhielt. Die gebrauchte Festplatte veräußerte die Beklagte an einen Dritten, jedoch ohne diese vorher zu formatieren. Der Erwerber des gebrauchten Artikels konnte dadurch die gespeicherten personenbezogenen Daten des Klägers wie Fotos und Steuererklärung einsehen.
- Das Amtsgericht Hildesheim sah darin einen Verstoß gegen den Datenschutz. Die Beklagte hätte die Daten auf der Festplatte löschen müssen. Da dies unterlassen wurde, handelte das Unternehmen fahrlässig. Das Gericht verurteilte es zur Zahlung von 800 Euro Schmerzensgeld.
- Dabei spielte es auch keine Rolle, dass die Beklagte den Kläger darauf hinwies, dass Daten von der Festplatte selbstständig zu löschen seien. Die Beklagte konnte sich dadurch nicht ihrer Verantwortung für eine rechtmäßige Datenverarbeitung nach der DSGVO entziehen, so das Gericht in der Urteilsbegründung. „Die Verlagerung für die Verantwortung mit dem Umgang von Daten käme in dem vorliegenden Fall einem pauschalen Haftungsausschluss gleich. Ein präventiver Haftungsausschluss widerspricht jedoch dem Schutzzweck der DSGVO.“
- Hinsichtlich des Schadensersatzes führte das Gericht aus: "Das Gericht hält ein Schmerzensgeld in der erkannten Höhe für ausreichend, aber auch angemessen, um den immateriellen Schaden des Klägers aufzuwiegen. Das Gericht berücksichtigt hierbei die Ausgleichs- und Genugtuungsfunktion des Schmerzensgeldes.“ Immaterielle Schadensersatzansprüche wie im vorliegenden Fall sollen einen abschreckenden Charakter haben und dazu dienen, der DSGVO zu einer effektiven Geltung zu verhelfen.