Amtsgericht Hildesheim

Verpflichtung zur Löschung von Daten auf Altgeräten obliegt den Unternehmen

Veröffentlicht: 16.04.2021 | Geschrieben von: Julia Petronis | Letzte Aktualisierung: 16.04.2021
Lupe auf Daten mit DSGVO

Das Amtsgericht Hildesheim musste sich kürzlich mit der Frage auseinandersetzen, wer verantwortlich dafür ist, dass Daten auf Altgeräten gelöscht werden. Mit Urteil vom 05.10.2020 (Az. 43 C 145/19) wurde ein Unternehmen zur Zahlung von Schadensersatz in Höhe von 800 Euro verurteilt. Grund dafür war die nicht erfolgte Löschung von personenbezogenen Daten auf einem Altgerät. 

Unterbliebene Datenlöschung vor der Weiterveräußerung

Das Gericht hatte im vorliegenden Fall zu klären, wer verantwortlich ist für die Löschung von Daten von einem zurückgesendeten Computer. Der Kläger retournierte den bei der Beklagten erworbenen mangelhaften PC, auf dem er zuvor im Rahmen der Nutzung private Daten auf der Festplatte gespeichert hatte, woraufhin er ein neues Gerät erhielt. Die Beklagte wies den Kläger während des Austausches mehrfach auf folgendes hin:

„Weiterhin möchten wir Sie darauf hinweisen, dass bei Rückgabe von Geräten mit Speichermedien, der Urzustand wieder herzustellen ist. Die Löschung aufgespielter, vertraulicher und personenbezogener Daten liegt in ihrer Verantwortung.“ und 

„Im Rahmen der Überprüfung bzw. Nachbesserung kann es zur Löschung der Daten auf dem Artikel kommen. Für einen Datenverlust übernehmen wir keine Haftung, es unterliegt vielmehr allein ihrer Verantwortung, für eine Datensicherung zu sorgen. Bitte beachten Sie, dass sie verantwortlich sind, das Gerät zurückgesetzt und ohne Passwörter zu übergeben oder uns alle erforderlichen Passwörter mitzuteilen.”

Anschließend veräußerte die Beklagte den PC an einen Dritten, ohne jedoch darauf zu achten die Festplatte zu formatieren. Die gespeicherten privaten Daten des Klägers (u.a. die Steuererklärung) konnten somit vom Erwerber eingesehen werden. Daraufhin verurteilte das Amtsgericht Hildesheim die Beklagte zur Zahlung von 800 Euro DSGVO-Schadensersatz nach Art. 82 Abs. 1 und 2 DSGVO in Verbindung mit § 253 Abs. 1 BGB.

Kein pauschaler Haftungsausschluss möglich 

Wie das Gericht urteilt, habe die Beklagte die Verpflichtung gehabt, vor der Weiterveräußerung alle Daten von der Festplatte zu löschen. Die Beklagte konnte sich durch allgemeine Hinweise nicht ihrer Verantwortung zur rechtmäßigen Datenlöschung nach der DSGVO entziehen und diese dem Käufer auferlegen. Ein pauschaler und präventiver Haftungsausschluss, wie die Beklagte es durch die gegebenen Hinweise getan hat, würde dem Schutzzweck der DSGVO widersprechen. 

Schadensersatz kann nicht mit Bußgeldern mithalten

Das Urteil betrifft in seinem wesentlichen Thema jedes Unternehmen, auch wenn der Verkauf von Altgeräten nicht zum Geschäft des Unternehmens gehört. Der datenschutzrechtliche Umgang sollte beherrscht werden. Kommen die bisher zugesprochenen Schadensersatzansprüche auch nicht in ihrer Höhe an die Bußgelder heran, so ist doch erkennbar, dass sich die Gerichte zunehmend daran orientieren. Gemäß des Erwägungsgrundes 146 der DSGVO sind die Gerichte auch dazu angehalten den Schadensbegriff weit auszulegen. Die Höhe des Schadensersatzes sieht das Gericht als angemessen an, um den immateriellen Schaden abzudecken. Der abschreckende Charakter des Schmerzensgeldes solle, nach den Ausführungen des Gerichts, der DSGVO zu einer effektiven Geltung verhelfen.

Fazit: Darauf müssen Händler beim Wiederverkauf achten

Soll ein zurückgesendeter Computer weiterveräußert werden, ist dringend vom Händler darauf zu achten, alle sich auf der Festplatte befindlichen Daten zu löschen. Unterlässt er dies, kann das einen Schadensersatzanspruch gegen ihn nach sich ziehen. Eine Abwälzung dieser Verantwortung auf den Kunden ist hierbei nicht zulässig und entbindet den Händler nicht von seiner Pflicht.

Über die Autorin

Julia Petronis
Julia Petronis Expertin für: IT- und Medien-Recht

Julia ist seit April 2021 als juristische Redakteurin bei uns tätig. Während ihres Studiums der Rechtswissenschaften in Leipzig konzentrierte sie sich vor allem auf das Medien- und IT-Recht, sowie das Wettbewerbs- und Urheberrecht – und kann dieses Wissen heute auch „in der echten Welt“ einsetzen.

Sie haben Fragen oder Anregungen?

Kontaktieren Sie Julia Petronis

Kommentare  

#1 Ulrich Schüller 2021-04-21 14:15
Wie weit geht denn die Löschverpflicht ung? Formatieren oder einfaches Löschen reicht nicht aus, um die Daten unkenntlich zu machen. So mancher Schlauberger hat sich schon mittels entsprechender Forensic-Soiftw are Zugang zu solchen "Alt-Daten" verschafft. Welches Löschlevel ist denn erfoderlich, um der DSGVO zu genügen?

______________________________________

Antwort der Redaktion

Hallo Ulrich Schüller,

die DSGVO spricht lediglich von der Pflicht zur Löschung der Daten. Jedoch hat das Bundesamt für Sicherheit in der Informationstec hnik (BSI) eine umfassende Anleitung zur richtigen Datenlöschung ausgearbeitet. https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Daten-sichern-verschluesseln-und-loeschen/Daten-endgueltig-loeschen/daten-endgueltig-loeschen_node.html

Mit besten Grüßen
die Redaktion
Zitieren

Schreiben Sie einen Kommentar

Newsletter
Abonnieren
Bleibe stets informiert mit unserem Newsletter.