Schmerzensgeld wegen Verletzung von Datenschutzvorschriften
jetzt Rechtsanwalt beauftragen
Schmerzensgeld bei fehlerhaftem Versand von E-Mails an falsche Adressen
Wenn personenbezogene Unterlagen irrtümlich an eine falsche E-Mail-Adresse gesendet werden, entsteht dem Betroffenen gemäß Artikel 82 Absatz 1 der DSGVO ein Anspruch auf Schmerzensgeld. Hingegen liegt bei unverschlüsseltem Versand einer E-Mail mit personenbezogenen Daten kein Verstoß vor, sofern der Betroffene seine Einwilligung dazu gegeben hat.
Sachverhalt: Datenschutzverletzung und Schmerzensgeldforderung
Eine Klägerin verlangte von einer gesetzlichen Krankenkasse Schmerzensgeld wegen eines Verstoßes gegen Datenschutzvorschriften. Sie ist bei der Beklagten gesetzlich krankenversichert und hatte am 27. November 2018 ein Beratungsgespräch mit einem Versicherungsmakler über den Abschluss einer privaten Krankentagegeldversicherung, die zum 1. Januar 2019 beginnen sollte. Der Makler empfahl ihr, einen Auszug ihrer Gesundheitsakte bei der Beklagten anzufordern, um die Gesundheitsfragen im Versicherungsantrag korrekt beantworten zu können.
Am 14. Dezember 2018 rief die Klägerin bei der Beklagten an, um den Inhalt ihrer Gesundheitsakte für die letzten drei Jahre anzufordern. Dabei gab sie ihre E-Mail-Adresse korrekt an: B1@fff.de. Leider wurde diese jedoch von der Sachbearbeiterin in falscher Schreibweise als B2@fff.de notiert und der angeforderte Akteninhalt an diese falsche E-Mail-Adresse gesendet – ohne Verschlüsselung oder Pseudonymisierung.
Als die Klägerin die E-Mail nicht erhielt, meldete sie sich mehrfach telefonisch bei der Beklagten. Diese teilte ihr mit, dass die E-Mail an die falsche Adresse gesendet wurde und veranlasste am selben Tag den postalischen Versand der Akte. Die Klägerin klagte daraufhin über die Ungewissheit und Angst bezüglich ihrer Gesundheitsdaten, was zu wiederholten telefonischen Nachfragen und Beschwerden führte.
Mit ihrer Anwältin forderte die Klägerin von der Beklagten Auskunft über den Vorfall, und die Beklagte räumte die Datenschutzverletzung schriftlich ein. Daraufhin verlangte die Klägerin gemäß Art. 82 DSGVO ein Schmerzensgeld von 15.000 EUR und die Erstattung von Anwaltskosten in Höhe von 1.029,35 EUR. Die Beklagte bot ihr 500 EUR an, ohne jedoch eine Haftung anzuerkennen. Die Klägerin akzeptierte das Angebot nicht und erhob Klage beim Landgericht Wuppertal.
Im Prozess behauptete die Beklagte, dass die E-Mail-Versendung auf ausdrücklichen Wunsch der Klägerin erfolgt sei, da diese die Unterlagen schnell erhalten wollte. Nach Bekanntwerden des Fehlers habe sie versucht, die E-Mail zurückzurufen und den Datenschutzverstoß der zuständigen Behörde gemeldet. Der Zeuge der Beklagten erklärte zudem, dass das Postfach B2@fff.de nach der falschen E-Mail nie genutzt und inzwischen gelöscht wurde.
Das Landgericht verurteilte die Beklagte zur Zahlung von 4.000 EUR Schmerzensgeld und zur Freistellung von vorgerichtlichen Anwaltskosten in Höhe von 413,64 EUR. Es stellte zudem fest, dass die Beklagte der Klägerin für zukünftige materielle und immaterielle Schäden aus diesem Vorfall haften müsse. Begründet wurde die Entscheidung mit der Datenschutzverletzung, da die Beklagte gegen ihre Pflichten aus Art. 32 Abs. 1 DSGVO verstoßen habe, indem sie keine ausreichenden technischen und organisatorischen Maßnahmen getroffen habe, um einen unverschlüsselten Versand personenbezogener Daten zu verhindern. Ein Mitverschulden der Klägerin wurde nicht festgestellt.
Beide Parteien legten Berufung beim Oberlandesgericht Düsseldorf ein.
Urteilsbegründung des Oberlandesgerichts Düsseldorf
Das Oberlandesgericht Düsseldorf entschied, dass die Berufung der Klägerin unbegründet war, während die Berufung der Beklagten nur teilweise Erfolg hatte. Das OLG sprach der Klägerin lediglich ein Schmerzensgeld von 2.000 EUR zu. Der fehlerhafte Versand der Gesundheitsakte an die falsche E-Mail-Adresse führte zu einem immateriellen Schaden, der der Klägerin nach Art. 82 Abs. 1 DSGVO einen Schadensersatzanspruch verschaffte.
Nach der DSGVO hat jede Person, die aufgrund eines Verstoßes gegen die Verordnung einen immateriellen Schaden erleidet, Anspruch auf Schadensersatz. Die Beklagte, als gesetzliche Krankenkasse, war für die Verarbeitung der Gesundheitsdaten der Klägerin verantwortlich.
Das OLG verneinte die vom Landgericht angenommene Verletzung des Art. 32 DSGVO, der geeignete technische und organisatorische Maßnahmen zur Sicherung der Datenverarbeitung fordert. Der Fehler sei lediglich auf einen Schreib- oder Tippfehler eines einzelnen Mitarbeiters zurückzuführen, und das Gericht konnte nicht feststellen, dass die Beklagte insgesamt ein unzureichendes Datenschutzniveau implementiert hatte. Die Klägerin habe keine ausreichenden Beweise dafür vorgebracht.
Auch die Annahme des Landgerichts, dass der Versand der E-Mail unverschlüsselt und ohne Pseudonymisierung einen Datenschutzverstoß darstelle, wurde vom OLG nicht geteilt. Das OLG argumentierte, dass die Klägerin mit der Übersendung der Gesundheitsakte per E-Mail einverstanden war. Sie habe im Gespräch mit der Sachbearbeiterin ihre E-Mail-Adresse angegeben, was objektiv als Zustimmung zur E-Mail-Übersendung interpretiert werden konnte. Da keine spezifischen Wünsche hinsichtlich der Verschlüsselung oder Pseudonymisierung geäußert wurden, könne von einer wirksamen Einwilligung ausgegangen werden. Der Klägerin sei auch klar gewesen, dass die Daten unverschlüsselt versendet würden.
Das OLG stellte weiter fest, dass die Einwilligung der Klägerin in die E-Mail-Versendung nicht unter Zwang oder Druck erfolgt sei. Sie habe auch die Möglichkeit gehabt, auf den Postversand zu bestehen. Ebenso beurteilte das OLG die Einwilligung als informierte Entscheidung, da die Klägerin die möglichen Gefahren einer unverschlüsselten Übertragung erkannt habe.
Der immaterielle Schaden der Klägerin, der durch die Ungewissheit über den Verbleib ihrer Gesundheitsdaten und den Verlust der Kontrolle über diese Daten verursacht wurde, wurde vom OLG als ausreichend schwerwiegend für einen Schadensersatz nach Art. 82 Abs. 1 DSGVO angesehen. Das Gericht wies darauf hin, dass in vielen Rechtsordnungen der Begriff des immateriellen Schadens auch seelisches Leid und Beeinträchtigungen der Lebensqualität umfasst.
Das OLG hob hervor, dass der Verlust der Kontrolle über besonders sensible Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO ein besonders schwerwiegender Datenschutzverstoß ist. Angesichts des Umfangs und der Intimität der betroffenen Gesundheitsdaten wurde die Bagatellschwelle für einen immateriellen Schaden überschritten. Die Klägerin habe aufgrund des Verlusts der Kontrolle über ihre Daten erhebliche Sorgen und Belastungen erfahren, was die Zuerkennung eines Schmerzensgeldes in Höhe von 2.000 EUR rechtfertige.
Das Urteil des Oberlandesgerichts stellt klar, dass ein immaterieller Schaden durch Datenschutzverletzungen, insbesondere bei besonders sensiblen Gesundheitsdaten, ernst genommen wird und auch ohne eine schwere Verletzung von Datenschutzvorschriften zu einem Schadensersatzanspruch führen kann.
Fazit
Das Oberlandesgericht Düsseldorf vertritt die Ansicht, dass auf das Verschlüsseln von Daten verzichtet werden kann, wenn der Empfänger wirksam eingewilligt hat. Diese Einschätzung basiert auf der Annahme einer informierten, freiwilligen und unmissverständlichen Einwilligung der betroffenen Person. Es ist jedoch wichtig zu beachten, dass diese Sichtweise aktuell nicht von den Datenschutzaufsichtsbehörden geteilt wird. Diese fordern in der Regel eine strengere Handhabung, bei der die Verschlüsselung personenbezogener Daten als unerlässlich angesehen wird, um den Datenschutzanforderungen gerecht zu werden.
Wie wir als Anwälte Ihnen in solchen Fällen helfen
Als erfahrene Rechtsanwälte im Bereich Datenschutzrecht unterstützen wir Sie in Fällen, in denen Ihre personenbezogenen Daten durch Fehler oder Verstöße im Umgang mit datenschutzrechtlichen Vorschriften gefährdet wurden. Wir beraten Sie umfassend zu Ihren Rechten gemäß der Datenschutz-Grundverordnung (DSGVO) und setzen Ihre Ansprüche auf Schadensersatz und Schmerzensgeld durch. Im Falle von unverschlüsseltem Versand oder anderen Datenschutzverletzungen prüfen wir, ob Ihre Einwilligung wirksam war oder ob die Verantwortlichen ihren Pflichten nicht nachgekommen sind. Wir stehen Ihnen mit rechtlicher Expertise zur Seite, um Ihre Ansprüche geltend zu machen und Ihre Rechte zu schützen.
Professionelle Beratung & Betreuung
Wir bieten Ihnen eine professionelle & umfassende Erstberatung im Bereich Handelsrecht an. Nutzen Sie Ihre Chance & vermeiden Sie Fehler.
