Indien persoonsgegevens per ongeluk naar een onjuist e-mailadres worden verzonden, heeft de betrokkene recht op schadevergoeding voor pijn en lijden overeenkomstig artikel 82 lid 1 AVG. Indien echter een niet-versleutelde e-mail met persoonsgegevens wordt verzonden, is er geen sprake van een inbreuk, mits de betrokkene hiervoor toestemming heeft gegeven.
Feiten: Schending van de gegevensbescherming en claim voor schadevergoeding
Een eiser eiste schadevergoeding van een wettelijke zorgverzekeraar vanwege een schending van de regelgeving inzake gegevensbescherming. Zij heeft een wettelijke ziektekostenverzekering bij de gedaagde en heeft op 27 november 2018 een gesprek gehad met een verzekeringsmakelaar over het afsluiten van een particuliere dagverzekering voor ziektekosten, die ingaat op 1 januari 2019. De makelaar adviseerde haar om een uittreksel uit haar medisch dossier op te vragen bij de gedaagde, zodat zij de gezondheidsvragen in de verzekeringsaanvraag correct kon beantwoorden.
Op 14 december 2018 belde eiseres gedaagde om de inhoud van haar medisch dossier van de afgelopen drie jaar op te vragen. Ze heeft haar e-mailadres correct ingevoerd: B1@fff.de. Helaas heeft de bediende dit verkeerd getypt als B2@fff.de genoteerd en de gevraagde bestandsinhoud naar dit valse e-mailadres verzonden – zonder encryptie of pseudonimisering.
Toen eiseres de e-mail niet ontving, heeft zij meerdere malen telefonisch contact opgenomen met gedaagde. Deze liet haar weten dat de e-mail naar het verkeerde adres was gestuurd en zorgde ervoor dat het bestand dezelfde dag nog per post zou worden verzonden. Vervolgens klaagde de eiseres over de onzekerheid en angst rondom haar medische gegevens, hetgeen leidde tot herhaaldelijke telefonische navraag en klachten.
De eiseres en haar advocaat eisten van de gedaagde informatie over het incident, waarop de gedaagde schriftelijk erkende dat er sprake was van een schending van de gegevensbescherming. De eiseres vorderde vervolgens een schadevergoeding voor smartengeld van € 15.000,- en een vergoeding van de proceskosten van € 1.029,35,- conform artikel 82 AVG. De gedaagde bood haar 500 EUR aan, maar erkende de aansprakelijkheid niet. De eiser heeft het aanbod niet geaccepteerd en heeft een rechtszaak aangespannen bij de regionale rechtbank van Wuppertal.
Tijdens de rechtszaak heeft de gedaagde aangevoerd dat de e-mail op uitdrukkelijk verzoek van de eiseres is verzonden, omdat zij de documenten snel wilde ontvangen. Nadat ze de fout had ontdekt, probeerde ze de e-mail terug te halen en meldde ze de inbreuk op de gegevensbescherming bij de verantwoordelijke autoriteit. De getuige van de verdachte verklaarde ook dat het postbusje B2@fff.de nadat het verkeerde e-mailadres nooit werd gebruikt en sindsdien is verwijderd.
De rechtbank van eerste aanleg heeft de gedaagde veroordeeld tot betaling van een schadevergoeding van 4.000 euro en tot vergoeding van de proceskosten van 413,64 euro. Tevens werd geoordeeld dat de gedaagde aansprakelijk was jegens de eiser voor toekomstige materiële en immateriële schade die voortvloeide uit dit incident. De beslissing was gebaseerd op de schending van de gegevensbescherming, aangezien de gedaagde zijn verplichtingen uit art. 32 (1) AVG had geschonden door geen toereikende technische en organisatorische maatregelen te nemen om de ongecodeerde overdracht van persoonsgegevens te voorkomen. Er is niet vastgesteld dat eiseres medeverantwoordelijk is.
Beide partijen gingen in beroep bij het Oberlandesgericht Düsseldorf.
Redenen voor het oordeel van het Oberlandesgericht Düsseldorf
Het Oberlandesgericht Düsseldorf oordeelde dat het beroep van de eiser ongegrond was, terwijl het beroep van de gedaagde slechts gedeeltelijk succesvol was. De Hoge Raad kende de eiser slechts een schadevergoeding van 2.000 euro toe. Door het onjuist versturen van het medisch dossier naar het verkeerde e-mailadres is immateriële schade ontstaan, waardoor eiseres aanspraak kan maken op schadevergoeding op grond van artikel 82 (1) AVG.
Volgens de AVG heeft iedereen die als gevolg van een schending van de verordening immateriële schade lijdt, recht op schadevergoeding. De gedaagde was als wettelijke zorgverzekeraar verantwoordelijk voor de verwerking van de gezondheidsgegevens van eiseres.
Het Hof van Cassatie heeft de door het Hof van Cassatie aangenomen schending van artikel 32 AVG ontkend, dat passende technische en organisatorische maatregelen vereist om de gegevensverwerking te beveiligen. De fout was slechts te wijten aan een spel- of typefout van één enkele werknemer en de rechtbank kon niet vaststellen dat de gedaagde over het geheel genomen een ontoereikend niveau van gegevensbescherming had geïmplementeerd. De eiser heeft hiervoor onvoldoende bewijs geleverd.
Ook het Oberlandesgericht deelde niet de veronderstelling van het Landgericht dat het onversleuteld en zonder pseudonimisering verzenden van de e-mail een schending van de gegevensbescherming opleverde. Het Hof van Cassatie stelde vast dat eiseres ermee had ingestemd dat het medisch dossier per e-mail werd toegezonden. Tijdens haar gesprek met de griffier gaf ze haar e-mailadres op, wat objectief gezien kon worden opgevat als toestemming voor het versturen van de e-mail. Omdat er geen specifieke wensen zijn uitgesproken ten aanzien van encryptie of pseudonimisering, kan worden aangenomen dat de toestemming effectief is geweest. Het was voor eiseres ook duidelijk dat de gegevens ongecodeerd zouden worden verzonden.
Het Hof van Cassatie oordeelde verder dat de toestemming van de eiser voor het versturen van de e-mail niet onder dwang of druk was gegeven. Ze had ook de mogelijkheid om erop aan te dringen het artikel per post te versturen. Ook de Hoge Raad oordeelde dat de toestemming een weloverwogen beslissing was, aangezien de eiser de potentiële gevaren van ongecodeerde overdracht had onderkend.
De immateriële schade die eiseres heeft geleden door de onzekerheid over de verblijfplaats van haar gezondheidsgegevens en het verlies van de controle over die gegevens, is door het Oberlandesgericht als voldoende ernstig beschouwd om schadevergoeding op grond van artikel 82(1) AVG te rechtvaardigen. Het hof wijst erop dat in veel rechtsstelsels onder het begrip immateriële schade ook psychisch lijden en aantasting van de kwaliteit van leven vallen.
Het Hof van Cassatie benadrukte dat het verlies van controle over bijzonder gevoelige gezondheidsgegevens een bijzonder ernstige schending van de gegevensbescherming is in de zin van artikel 9, lid 1, AVG. Gezien de omvang en de vertrouwelijkheid van de betrokken gezondheidsgegevens werd de de-minimisdrempel voor immateriële schade overschreden. De eiseres heeft door het verlies van controle over haar gegevens aanzienlijke angst en stress ervaren, hetgeen de toekenning van een smartengeldvergoeding van € 2.000,- rechtvaardigt.
Uit de uitspraak van het Hof van Cassatie blijkt dat immateriële schade die door schendingen van de gegevensbescherming wordt veroorzaakt, met name in het geval van bijzonder gevoelige gezondheidsgegevens, ernstig wordt opgevat en ook zonder ernstige schending van de gegevensbeschermingsvoorschriften aanleiding kan geven tot een schadevergoedingsclaim.
Het hof van beroep in Düsseldorf is van oordeel dat gegevensversleuteling achterwege kan blijven indien de ontvanger daadwerkelijk toestemming heeft gegeven. Bij deze beoordeling wordt uitgegaan van de geïnformeerde, vrijwillige en ondubbelzinnige toestemming van de betrokkene. Het is echter belangrijk om op te merken dat deze mening momenteel niet wordt gedeeld door de toezichthoudende autoriteiten op het gebied van gegevensbescherming. Deze vereisen doorgaans een strengere behandeling, waarbij encryptie van persoonsgegevens als essentieel wordt beschouwd om te voldoen aan de vereisten voor gegevensbescherming.
Conclusie
Het hof van beroep in Düsseldorf is van oordeel dat gegevensversleuteling achterwege kan blijven indien de ontvanger daadwerkelijk toestemming heeft gegeven. Bij deze beoordeling wordt uitgegaan van de geïnformeerde, vrijwillige en ondubbelzinnige toestemming van de betrokkene. Het is echter belangrijk om op te merken dat deze mening momenteel niet wordt gedeeld door de toezichthoudende autoriteiten op het gebied van gegevensbescherming. Deze vereisen doorgaans een strengere behandeling, waarbij encryptie van persoonsgegevens als essentieel wordt beschouwd om te voldoen aan de vereisten voor gegevensbescherming.
