Dass das Versenden von elektronischen Dokumenten auf einem USB-Stick per Post – ohne gesonderte Schutzmaßnahmen keinen grundsätzlichen datenschutzrechtlichen Bedenken begegnet, hat das Landgericht Essen, 6 O 190/21, hervorgehoben. Insbesondere sah das Gericht keinen Verstoß gegen Art. 24, 25 Abs. 1, 32 DSGVO.
Versand von USB-Stick per Post
Zwar hat der Verantwortliche entsprechend Art. 24, 25 DSGVO geeignete technische und organisatorische Maßnahmen zu treffen und umzusetzen, um sicherzustellen, dass die Verarbeitung gemäß der DSGVO erfolgt und die Rechte der betroffenen Personen geschützt werden. Hierbei sind dann insbesondere Stand der Technik, Implementierungskosten, Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. Wobei ausdrücklich in Art. 25 Abs. 1 und Art. 32 Abs. 1 DSGVO die Pseudonymisierung und Verschlüsselung personenbezogener Daten genannt werden.
Gleichwohl kommt mit dem Landgericht kein DSGVO-Verstoß in Betracht. Hintergrund war ein per Post versendeter USB-Stick, der auf dem Postversand verloren gegangen sein soll. Das Gericht sah ausdrücklich keinen Grund, weshalb der USB-Stick nicht per einfachem Brief hätte versendet werden dürfen:
Zwar waren auf dem USB-Stick Dokumente mit sensiblen persönlichen und wirtschaftlichen Informationen enthalten. Dies ist jedoch kein Grund, nicht den Service der E1 nutzen zu dürfen. Von verschiedensten Stellen werden ausgedruckte Dokumente mit sensiblen Informationen, z.B. Steuerbescheide, Schreiben von Anwälten und Steuerberatern o.Ä., mit einfacher Post versandt. Hiergegen ist ebenfalls nichts einzuwenden; eine irgendwie geartete Pflichtverletzung der handelnden Stellen ist nicht ersichtlich.
Weshalb zwischen ausgedruckten Dokumenten, die naturgemäß unverschlüsselt übersandt werden, und digitalen Dokumenten auf einem unverschlüsselten USB-Stick im Zuge der postalischen Übermittlung unterschieden werden soll, erschließt sich der Kammer nicht. Die Beklagte war zudem nicht gehalten, den USB-Stick in einem gepolsterten Umschlag zu versenden. Bei dem USB-Stick handelt es sich weder um einen leicht zu beschädigenden Gegenstand, der vor äußeren Einwirkungen geschützt werden müsste, noch musste die Beklagte davon auszugehen, dass ein USB-Stick als relativ leichter Gegenstand ohne scharfe Kanten den Briefumschlag von innen heraus zerstören könnte.
Landgericht Essen, 6 O 190/21
Auch sah das Gericht keine Verpflichtung der Beklagten, den USB-Stick persönlich zu übergeben. Unstreitig wurde dies nicht gefordert und es gab eben keine Veranlassung, an dem zuverlässigen Postversand zu zweifeln.
Meldepflicht, wenn USB-Stick verloren geht
Aber: Im Fall mangelnder Mitteilung an die zuständige Datenschutzbehörde liegt gleichwohl ein Verstoß gegen die DSGVO vor (nämlich Art. 33 DSGVO). Insoweit gilt, dass entsprechend Art. 33 Abs. 1 DSGVO der Verantwortliche im Falle einer Verletzung des Schutzes personenbezogener Daten unverzüglich und möglichst binnen 72 Stunden Meldung, nachdem ihm die Verletzung bekannt wurde, dies der zuständigen Aufsichtsbehörde meldet – es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Die erforderlichen zu meldenden Informationen ergeben sich aus Art. 33 Abs. 3 DSGVO. Dies fand hier nicht statt:
Eine solche Meldung ist indes – unstreitig – nicht erfolgt. Unerheblich ist dabei, dass der Kläger und seine Ehefrau als Betroffene bereits Kenntnis von dem vermeintlichen Datenverlust hatten, da sie ihn selbst gemeldet haben. Denn die Meldepflicht dient zum einen der Minimierung der negativen Auswirkungen von Datenschutzverletzungen durch Publizität gegenüber der Aufsichtsbehörde (und dem Betroffenen). Gleichzeitig gewährt die Vorschrift so vorbeugenden Schutz der informationellen Selbstbestimmung des Betroffenen, indem sie Anreize zur Vermeidung zukünftiger Verletzungen beim Verantwortlichen setzt. Die Vorschrift dient also nicht nur dem Schutz des Betroffenen. Die Meldung gegenüber der Aufsichtsbehörde ermöglicht es dieser, über Maßnahmen zur Eindämmung und Ahndung der Rechtsverletzung zu entscheiden (vgl. BeckOK DatenschutzR/Brink, 37. Ed. 1.11.2019 Rn. 10, DS-GVO Art. 33 Rn. 10). Insofern genügt bereits ein solch formeller Verstoß gegen die DSGVO zur Begründung eines Schadensersatzanspruches dem Grunde nach (BeckOK DatenschutzR/Quaas, 37. Ed. 1.8.2021, DS-GVO Art. 82 Rn. 14).56
Zudem liegt ein Verstoß gegen Art. 34 Abs. 2 DSGVO vor. Zwar ist der Beklagten insofern zuzustimmen, als sie selbst erst durch den Kläger bzw. seine Ehefrau von dem vermeintlichen Datenverlust informiert wurde. Die Informationspflichten des Art. 34 DSGVO sehen über die reine Information über den Datenverlust selbst hinaus jedoch vor, dass die in Art. 33 Abs. 3 lit. b – d DSGVO genannten Informationen und Maßnahmen auch dem Betroffenen – hier dem Kläger und seiner Ehefrau – mitgeteilt werden. Dies ist jedoch – unstreitig – nicht erfolgt.
Man sollte vom (unverschlüsselten) Versand von Datenträgern per Post letztlich also gleichwohl absehen, denn man dürfte am Ende immer bei der Meldpflicht landen – und der Verstoß hiergegen eröffnet den Zugang zum Schadensersatz, der hier übrigens verneint wurde, weil letztlich der Verstoß gegen die Meldepflicht der relevante DSGVO-Verstoß ist.
Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht, Arbeitsrecht und IT-Recht / Technologierecht. Beachten Sie unsere Tätigkeit im Steuerstrafrecht, digitaler gewerblicher Rechtsschutz, IT-Sicherheitsrecht sowie Softwarerecht.
- Schaden beim Subventionsbetrug - 19. April 2024
- BGH-Urteils zum Verbreiten kinderpornographischer Inhalte - 19. April 2024
- OLG Köln zur Abschöpfung des Gewinns im Wettbewerbsrecht - 19. April 2024