OLG Dresden: Negative DSGVO-Auskunft ausreichend, keine weitergehenden Auskunftspflichten

Erteilt ein Unternehmen im Rahmen eines geltend gemachten Auskunftsanspruchs nach Art. 15 DSGVO eine negative Auskunft, so bestehen keine weitergehenden Auskunftspflichten (OLG Dresden, Urt. v. 31.08.2021 - Az.: 4 U 324/21).

Der Kläger erwarb in der Vergangenheit einen Laptop bei der Beklagten. Im Rahmen der Garantie trat ein Defekt an der Festplatte auf, sodass der Kläger das Bauteil an die Beklagte zurücksandte. Darauf befanden sich personenbezogene Daten des Klägers.

Die Beklagte hatte vorab darauf hingewiesen, dass sie keine Datensicherung vornehmen werde, sondern alleine der Kläger für das Backup verantwortlich sei. 

Wenig später übersandte die Beklagte eine andere Festplatte, auf der sich keine Daten des Klägers befanden.

Der Kläger machte daraufhin einen umfangreichen Auskunftsanspruch nach Art. 15 DSGVO geltend. Er wollte insbesondere wissen, an wen die Daten auf der ursprünglichen Festplatte weitergegeben worden seien und welchen Inhalt diese hatten. Zusätzlich begehrte er Schadensersatz iHv. mindestens 10.000,- EUR für die erlittene Rechtsverletzung nach Art. 82 DSGVO.

Die Beklagte erteilte ihm eine negative DSGVO-Auskunft, dass sie keine Daten gespeichert habe, sondern die Festplatte vielmehr vernichtet bzw. an den Hersteller zurückgesandt worden sei.

Das OLG Dresden lehnte alle Ansprüche des Klägers ab.

Hinsichtlich des Auskunftsanspruchs nach Art. 15 DSGVO:

"Liegt (...) eine negative Verarbeitungsbestätigung vor, kommt ein Anspruch auf weitergehende Auskunft hinsichtlich der in Art. 15 Abs. 1 Buchst. a - h beschriebenen Informationsbestandteile von vornherein nicht in Betracht (...)).

Auch der unter b) geltend gemachte Anspruch auf Rechenschaftslegung nach § 666 BGB scheidet aus.

Ob § 666 BGB im Anwendungsbereich der Datenschutzgrundverordnung durch Art. 15 DSGVO verdrängt wird, kann offenbleiben, weil auch dieser Anspruch erfüllt wäre. Eine weitergehende Rechenschaft als die hier allein mögliche Angabe, dass die Festplatte sich nicht mehr in ihrem Besitz befindet und sie keinen Zugriff auf die aufgespielten Daten genommen hat, schuldet die Beklagte auch nach dieser Vorschrift nicht.

Dabei kommt es nicht darauf an, ob sie vernünftigerweise nach den Umständen des konkreten Falles und des Hinweises auf die Verantwortlichkeit des Kunden für die Datensicherheit in der E-Mail vom 30.3.2020 (K5) davon ausgehen durfte, dass der Kläger im Tausch gegen eine neue Festplatte auf den eingesandten Datenträger und die aufgespielten Daten verzichtet hatte. Wie das Landgericht auf der Grundlage der Zeugenaussagen ohne Fehler in der Beweiswürdigung festgestellt hat, hat die Beklagte jedenfalls auf die Festplatte und die aufgespielten Daten keinerlei Zugriff mehr, Aufzeichnungen hierüber hat sie ebenfalls nicht geführt. Weitere Rechenschaftspflichten sind ihr damit unmöglich geworden."

Hinsichtlich des Schadensersatzes nach Art. 82 DSGVO führt das Gericht aus, dass die Festplatten-Vernichtung zwar eine Datenverarbeitung iSd. DSGVO sei. In diesen Vorgang habe der Kläger jedoch konkludent eingewilligt:

"In der Rücksendung der Festplatte lag angesichts dessen nach dem objektiven Empfängerhorizont die Zustimmung dazu, die eingeräumte Garantie entweder durch Reparatur oder Austausch unter gleichzeitigem Datenverlust vorzunehmen, zumal in diesem Kontext ebenfalls darauf hingewiesen wurde, dass die Beklagte Datensicherung und Datenrettung nicht anbietet und jeder Kunde "für die Sicherheit der Daten selbst verantwortlich" sei (K 5). (...)

Entgegen der Auffassung des Klägers ist es auch ohne Belang, dass er nicht ausdrücklich in die Löschung seiner Daten eingewilligt hat. Wie sich aus Erwägungsgrund 32 der DSGVO ergibt, ist eine solche ausdrückliche Einwilligung gerade nicht erforderlich (...)."