Ein Tippfehler bei der E-Mail-Adresse kann zu Schadenersatz iSd Art 82 DSGVO führen.
Das OLG Düsseldorf hat dazu am 28.10.2021 ein Urteil (16 U 275/20) gefällt. Gesundheitsdaten wurden an einen falschen Empfänger gesandt.
Der betroffenen Person wurden EUR 2.000,-- zugesprochen.
Am 14. Dezember 2018 meldete sich die betroffene Person telefonisch bei ihrer Krankenversicherung, und ersuchte um Zusendung des Inhalts der Gesundheistakte der letzten drei Jahre.
Ein Mitarbeiter der
Krankenversicherung notierte sich die E-Mail-Adresse, hat jedoch diese nicht in der korrekten Schreibweise notiert. An diese falsche E-Mail-Adresse sandte die Krankenversicherung
die von der betroffenen Person angeforderten Unterlagen. Die E-Mail und der Anhang waren nicht verschlüsselt.
Da die betroffene Person die Unterlagen nicht erhalten hatte, wandte sie sich an die Krankenversicherung. Der Fehler wurde bemerkt, und die Unterlagen per Post zugesandt.
In der Zeit vom 17. bis zum 20. Dezember 2018 rief die betroffene Person wiederholt bei der Krankenversicherung an und teilte mit, wie sehr sie unter der Ungewissheit ob des Verbleibs ihrer Gesundheitsdaten leide und dass sie seit Tagen nicht mehr schlafen könne. Die Kranenversicherung sicherte wiederholt zu, sich um die Angelegenheit zu kümmern.
Ein Mitarbeiter der Krankenversicherung leitete er die für die betroffene Person bestimmte, aber versehentlich an das falsche E-Mail-Postfach versandte E-Mail an seinen Vorgesetzten, Herrn C., sowie aauch an den Leiter des Kundenservices in der Hauptgeschäftsstelle Karlsruhe weiter.
Die betroffene Person forderte von der Krankenversicherung auf Basis des Art 82 DSGVO wegen des in dem fehlerhaften E-Mail-Versand liegenden Datenschutzverstoßes ein Schmerzengeld von EUR 15.000,-- sowie Rechtsanwaltskosten. Die Krankenversicherung bot zur Bereinigung unpräjudiziell einen Betrag von EUR 500,-- an.
Das Gericht wertete die
Mitteilung der E-Mail-Adresse im Telefongespräch bei der Anforderung der Unterlagen als Einverständnis zur Zusendung der Unterlagen per E-Mail;
es musste der betroffenen Person auch klar sein, dass die Übermittlung nicht verschlüsselt oder in psydonymisierter Form erfolgen werde, da
darüber nicht gesprochen wurde.
Ab RZ 69 führt das Gericht zum ideelen Schaden iSd Art 82 DSGVO aus (Hervorhebungen durch den Verfasser):
Infolge
des in dem E-Mail-Versand an das falsche E-Mail-Postfach liegenden Verstoßes gegen die Vorschriften der DSGVO hat die Klägerin einen immateriellen Schaden erlitten. Als
immaterieller Schaden der Klägerin stellt sich die mit
dem Verlust der Datenkontrolle verbundene seelisch belastende Ungewissheit über das Schicksal ihrer Daten dar.
Dafür, dass darin ein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO liegen kann, spricht nicht nur Erwägungsgrund 75 der DSGVO, wo dem Schadensbegriff auch der Verlust der Kontrolle über personenbezogene Daten zugeordnet wird.
Dafür spricht auch, dass in den meisten Rechtsordnungen mit dem Begriff des immateriellen Schadens Schäden wie seelisches Leid oder Beeinträchtigungen der Lebensqualität erfasst werden (siehe Schlussanträge des Generalanwalts N. Wahl vom 25. Juli 2018 in den verbundenen Rechtssachen C-138/17 P und C-146/17 P, juris, Rn. 83) und der Europäische Gerichtshof ein vergleichbares Schadensverständnis auch für das Unionsprimärrecht vertritt.
Der Gerichtshof verlangt dort zwar, dass ein Schaden tatsächlich und sicher sein muss (EuGH, Urteil vom 4. April 2017 – C-337/15, juris, Rn. 91), andererseits kann bereits ein lang anhaltender Zustand belastender Ungewissheit einen immateriellen Schaden darstellen (vgl. z.B. EuGH, Urteil vom 13. Dezember 2018 – C-138/17 u.a., juris, Rn. 61; EuG, Urteil vom 17. Dezember 1998 – T-203/96, juris, Rn. 108).
Dahinstehen kann hier, ob Voraussetzung eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO ist, dass der durch den Datenschutzverstoß entstandene immaterielle Schaden ein gewisses Gewicht erreicht haben muss (siehe OLG Dresden, Beschluss vom 11. Juni 2019 – 4 U 760/19, juris, Rn. 13; siehe dazu auch OGH Österreich, Vorlagebeschluss vom 15. April 2021 – 6 Ob 35/21x = BeckRS 2021, 11950). Der der Klägerin hier entstandene immaterielle Schaden hat ausreichendes Gewicht. Sie hat nicht nur einen Bagatellschaden erlitten, der gegebenenfalls keines Ausgleichs nach Art. 82 Abs. 1 DSGVO bedürfte. Angesichts des Umfangs und der Bedeutung der Daten, über welche die Klägerin über viele Monate die Kontrolle verloren hat, und angesichts der Sorgen und Befürchtungen, unter denen sie aufgrund des Datenverlusts in dieser Zeit gelitten hat, ist eine etwaige Bagatellschwelle zweifelsfrei überschritten.
Insoweit ist zu berücksichtigen, dass die DSGVO Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DSGVO, wie sie hier betroffen sind, durch das grundsätzliche Verarbeitungsverbot in Art. 9 Abs. 1 DSGVO als besonders sensible Datenkategorie anerkennt. Es kommt hinzu, dass der hier betroffene Auszug aus der Gesundheitsakte der Klägerin nicht nur sehr umfangreich war, sondern auch höchst intime Gesundheitsinformationen enthielt."
Das Gericht setzt sich auch mit der Bemessung der Schadenshöhe auseinander zitiert ErwG 146 (vollständigen und wirksamen Schadenersatz), und führt folgende Kriterien an:
-
Schadensausgleich und Genugtuungsfunktion des Ersatzanspruches
-
die
Datenkategorien, im konkreten Fall Gesundheitsdaten mit intimen Details (100 Seiten an Unterlagen mit sämtlichen Behandlungen über nahezu 4 Jahre mit Diagnose,
Leistungszeiträumen und Krankschreibungen, Informationen über mehrere gynäkologische Behandlungen als junge, noch lange nicht berufstätige Frau, die auch Rückschlüsse auf das
Sexualleben zuliesen)
-
Umstände des konkreten Einzelfalls (unter Hinweis auf EuGH, C-45/15 P):
Art, Schwere und Dauer (zehnmonatiger
Kontrollverlust im konkreten Fall) des Datenschutzverstoßes, das Verhalten des Verantwortlichen sowie die Auswirkungen des Verstoßes für den Betroffenen
-
die seelischen
Auswirkungen bei der geschädigten Person (seelische Belastung, die in den ersten Tagen aufgrund der schleppenden Reaktion des Verantwortlichen besonders hoch war)
-
der Grad des Verschuldens (fahrlässige Verletzung)
-
die ergriffenen Maßnahmen zur Minderung der Schadensfolgen (Versuch, die E-Mail rückzurufen; Versuch
der Verhinderung der Weierverbreitung; Entschuldigung bei der betroffenen Person)
- die Frage, ob sich dadurch eine dauerhafte Beeinträchtigung der Herrschaft über die eigenen Daten und der seelischen Gesundheit ergibt (nur zeitweiser, kein dauerhafter Kontrollverlust, keine Kenntnisnahme oder Verbreitung oder Veröffentlichung der Daten durch den unberechtigten Empfänger
Nach der Rspr des EuGH zu Ansprüchen in Zusammenhang mit Art 340 AEUV haben die Gerichte bei der Bemessung der angemessenen Entschädigung und der Bestimmung des gegebenenfalls zuzuerkennenden Schadenersatzbetrages einen erheblichen Spielraum, den sie nach billigem Ermessen füllen müssen.
Zur in der Literatur vertretenen Abschrenckungswirkung des Schadenersatzanspruches führt das Gericht aus, dass diese Funktion zweifelhaft ist.
"Der Senat hat schließlich keinen Anlass, den Schadensersatzbetrag im Hinblick auf eine damit zu erzielende abschreckende Wirkung gesondert zu erhöhen.
Ob einem nach Art. 82 Abs. 1 DSGVO zuzusprechenden Schadensersatzbetrag per se eine abschreckende Wirkung zukommen muss, wie teilweise vertreten wird, hält der Senat für zweifelhaft (wie hier Eichelberger, WRP 2021, 159, 163).
Letztlich kann dies hier aber dahinstehen, weil dem der Klägerin zugesprochenen Schadensersatzbetrag jedenfalls auch eine ausreichend präventive Wirkung zukommt."
Kommentar schreiben