Das Amtsgericht Hildesheim hat in einem Urteil vom 05.10.2020 (Az. 43 C 145/19) dem Käufer eines Computers wegen einer unrechtmäßigen Datenweitergabe ein Schmerzensgeld in Höhe von 800 Euro zugesprochen.
In dem Fall ging es um einen PC-Käufer, der seinen PC nach technischen Störungen an den Verkäufern zurückgeben musste. Vor der Rücksendung des Geräts erhielt der Kaufer eine Eingangsbestätigung, die unter anderem folgenden Passus enthielt:
„Weiterhin möchten wir Sie darauf hinweisen, dass bei Rückgabe von Geräten mit Speichermedien, der Urzustand wieder herzustellen ist. Die Löschung aufgespielter, vertraulicher und personenbezogener Daten liegt in ihrer Verantwortung.„
Daneben gabe es allerdings auch noch andere Hinweise, wie z.B. ,,dass für Datenverlust keine Haftung übernommen werden könne„.
Der PC wurde nach Wiederaufbereitung an einen Dritten weiterverkauft, der auf der Festplatte noch Fotos, die Rechnung einer Autowerkstatt und Steuererklärung des Klägers finden konnte. Das Amtsgericht hat entschieden, dass dem Kläger ein Anspruch auf Zahlung eines Schmerzensgeldes nach Art. 82 Absatz 1 und 2 DSGVO in Verbindung mit § 253 I BGB in Höhe von 800,- Euro zustehe.
Zum Hinweis dass die Daten auf dem PC zu löschen seien, führte das Gericht aus „Die Beklagte konnte sich durch allgemeine Hinweise darauf, dass bei der Rückgabe von Geräten mit Speichermedien der Urzustand wieder herzustellen sei und die Löschung aufgespielter, vertraulicher und personenbezogener Daten in der Verantwortung des Käufers bzw. Einsenders liege, ihrer Verantwortung für eine rechtmäßige Datenverarbeitung nach der DSGVO nicht entheben. Die Verlagerung für die Verantwortung mit dem Umgang von Daten käme in dem vorliegenden Fall einem pauschalen Haftungsausschluss gleich. Ein präventiver Haftungsausschluss widerspricht jedoch dem Schutzzweck der DSGVO.“
Hinsichtlich der Höhe des Schadenersatzes führte das Gericht aus, 800,- Euro Schmerzensgeld seien ausreichend und angemessen. Hierbei hat das Gericht die Ausgleichs-und Genugtumsfunktion des Schmerzensgelds berücksichtigt sowie, dass immaterielle Schadensersatzansprüche im vorliegenden Fall einen abschreckenden Charakter haben sollen, um der DSGVO zu einer effektiven Geltung zu verhelfen. Auch habe es sich um eine nicht unerhebliche Menge an Dateien gehandelt, die auf dem PC gewesen sei.
Das unterstreicht noch einmal mehr die Wichtigkeit von effektiven technischen und organisatorischen Maßnahmen im Zusammenhang mit dem Umgang mit personenebezogenen Daten.
