Schmerzensgeld beim Versand einer E-Mail an eine falsche Adresse
Durch den Versand von personenbezogenen Unterlagen an eine falsche E-Mail-Adresse hat der Betroffene einen Anspruch auf Schadensersatz gemäß Art. 82 Abs. 1 DSGVO. Dagegen liegt beim unverschlüsselten Versand einer E-Mail mit personenbezogenen Daten kein Verstoß vor, falls der Betroffene dazu eingewilligt hat.
Sachverhalt
Eine Klägerin verlangte von einer Beklagten, einer gesetzlichen Krankenkasse, Schmerzensgeld wegen eines Verstoßes gegen Datenschutzvorschriften.
Die Klägerin ist bei der Beklagten gesetzlich krankenversichert. Am 27. November 2018 führte sie mit einem Versicherungsmakler ein Beratungsgespräch über den Abschluss einer privaten Krankentagegeldversicherung, die schon zum 1. Januar 2019 zu laufen beginnen sollte. Der Makler empfahl ihr, vorbereitend einen Auszug ihrer Gesundheitsakte bei der Beklagten anzufordern. Das sollte es der Klägerin ermöglichen, die mit dem Versicherungsantrag zu beantwortenden Gesundheitsfragen zutreffend beantworten zu können.
Am 14. Dezember 2018 meldete sich die Klägerin telefonisch bei der Beklagten, um sich den die letzten drei Jahre betreffenden Inhalt ihrer Gesundheitsakte zusenden zu lassen. Der genaue Inhalt und Verlauf des Telefongesprächs ist zwischen den Parteien streitig geblieben. Im Ergebnis notierte sich die Sachbearbeiterin der Versicherung für die Übersendung der Akte die E-Mail-Adresse der Klägerin. Dies geschah jedoch nicht in der von der Klägerin angegebenen zutreffenden Schreibweise „B1@fff.de“, sondern in der hiervon abweichenden Schreibweise „B2@fff.de“. An die letztgenannte E-Mail-Adresse übersandte die Sachbearbeiterin den von der Klägerin angeforderten Akteninhalt, ohne die E-Mail oder den Dateianhang zu verschlüsseln oder zu pseudonymisieren.
Nachdem die Klägerin keinen entsprechenden E-Mail-Eingang verzeichnen konnte, meldete sie sich wiederholt telefonisch bei der Beklagten, um sich nach dem Vorgang zu erkundigen. Dabei erhielt sie von der Beklagten Nachricht, dass die E-Mail an eine falsche E-Mail-Adresse gesandt worden sei. Die Beklagte veranlasste noch am selben Tag einen postalischen Versand der Gesundheitsakte an die Anschrift der Klägerin.
Daraufhin rief die Klägerin wiederholt bei der Beklagten an und teilte mit, wie sehr sie unter der Ungewissheit ob des Verbleibs ihrer Gesundheitsdaten leide und dass sie seit Tagen nicht mehr schlafen könne. Die Beklagte sicherte wiederholt zu, sich um die Angelegenheit zu kümmern.
Mit Schreiben ihrer Prozessbevollmächtigten forderte die Klägerin die Beklagte auf, Auskunft über den Verlauf der Datenschutzverletzung zu geben. Die Beklagte räumte die Datenschutzverletzung schriftlich ein.
Mit einem erneuten Schreiben ihrer Prozessbevollmächtigten forderte die Klägerin die Beklagte unter Bezugnahme auf Art. 82 DSGVO auf, ihr wegen des in dem fehlerhaften E-Mail-Versand liegenden Datenschutzverstoßes ein Schmerzensgeld von 15.000,- € zu zahlen und Anwaltskosten in Höhe von 1.029,35 € zu ersetzen. Die Beklagte wies diese Forderung zurück, bot aber ohne Anerkennung einer Rechtspflicht an, der Klägerin 500,- € zu zahlen. Die Klägerin ging hierauf nicht ein und reichte Klage beim Landgericht Wuppertal ein.
In der Verhandlung beim Landgericht behauptete die Beklagte, die Versendung der elektronischen Gesundheitsakte per E-Mail sei auf ausdrücklichen Wunsch der Klägerin erfolgt. Die Klägerin habe die Unterlagen schnell erhalten wollen. Nach Bekanntwerden des Falschversandes habe sie, die Beklagte, erfolglos versucht, die E-Mail mithilfe des Programms Outlook zurückzurufen. Ihr Mitarbeiter C. habe am selben Tag eine E-Mail an einen etwaigen Nutzer des Postfachs „B2@fff.de“ geschrieben und darin ein Verbot der Verwertung der fälschlich übersandten Daten ausgesprochen. Ebenfalls noch am selben Tag sei der Datenschutzverstoß der zuständigen Datenschutzbehörde gemeldet worden.
Am 14. August 2019 habe der bei ihr beschäftigte Zeuge E. bei FFF. angerufen. Dort habe ihm sein Gesprächspartner erklärt, dass auf das E-Mail-Postfach „B2@fff.de“ nie ein Zugriff erfolgt und das Postfach inzwischen gelöscht sei.
Das Landgericht hat die Beklagte dazu verurteilt, an die Klägerin 4.000,- € zuzüglich Zinsen zu zahlen und sie von vorgerichtlichen Anwaltskosten in Höhe von 413,64 € freizustellen. Zudem hat es festgestellt, dass die Beklagte verpflichtet ist, der Klägerin alle zukünftigen materiellen und immateriellen Schäden zu ersetzen, die sich aus dem Datenschutzverstoß der Beklagten noch ergeben. Zur Begründung hat es ausgeführt, dass der Klägerin ein Schmerzensgeldanspruch in der ausgeurteilten Höhe aus Art. 82 Abs. 1 DSGVO zustehe. Der Klägerin sei durch einen Verstoß der Beklagten gegen Art. 32 Abs. 1 DSGVO ein immaterieller Schaden entstanden. Die Beklagte habe gegen ihre Pflichten aus Art. 32 DSGVO verstoßen, indem sie keine geeigneten technischen und organisatorischen Maßnahmen innerhalb ihres Geschäftsbereichs getroffen habe, um zu verhindern, dass Mitarbeiter Gesundheitsdaten unverschlüsselt versenden. Durch das unverschlüsselte Versenden der elektronischen Gesundheitsakte sei der Klägerin ein immaterieller Schaden entstanden. Sie sei in ihrem allgemeinen Persönlichkeitsrecht erheblich verletzt worden. Ein Mitverschulden hieran sei der Klägerin nicht vorzuwerfen.
Gegen dieses Urteil haben beide Parteien Berufung beim Oberlandesgericht (OLG) Düsseldorf eingelegt.
Aus der Urteilsbegründung
Das Oberlandesgericht erklärte die Berufung der Klägerin als unbegründet und die Berufung der Beklagten hat nur teilweise Erfolg. Das OLG sprach der Frau lediglich ein Schmerzensgeld von 2.000 € zu. Aufgrund der an die falsche E-Mail-Adresse versandten Gesundheitsakte der Klägerin habe diese gegen die Beklagte infolge eines durch den fehlerhaften Versand erlittenen immateriellen Schadens einen Anspruch auf Schadensersatz aus Art. 82 Abs. 1 DSGVO.
Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Verordnung ein immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen. Verantwortlich im Sinne von Art. 4 Nr. 7 DSGVO für die Verarbeitung der Gesundheitsdaten der Klägerin ist die Beklagte als deren gesetzliche Krankenkasse.
In der auf einem Schreib- oder Tippfehler beruhenden Versendung der Gesundheitsakte an ein falsches E-Mail-Postfach liegt eine schlichte Preisgabe von Daten ohne ein kommunikatives Ziel. Dies gilt zumal im Hinblick auf den Inhaber des E-Mail-Postfachs, an den die Akte nicht versandt werden sollte.
Die vom Landgericht angenommene Verletzung des Art. 32 DSGVO bejaht das OLG nicht. Anders als das Landgericht vermag das OLG aus dem Fehler beziehungsweise Fehlverhalten eines einzelnen Mitarbeiters nicht den Rückschluss zu ziehen, dass die Beklagte kein nach Art. 32 DSGVO ausreichendes Datenschutzniveau implementiert hatte. Weitere für einen solchen Schluss notwendige Anknüpfungstatsachen hat die insoweit darlegungs- und beweisbelastete Klägerin nach Ansicht des Gerichts weder ausreichend vorgetragen noch unter Beweis gestellt.
Soweit das Landgericht zudem als einen Datenschutzverstoß der Beklagten beanstandet, dass die Sachbearbeiterin die E-Mail unverschlüsselt und mit unverschlüsselter bzw. nicht pseudonymisierter Gesundheitsakte als Anhang versandt hat, überzeugt auch dies das OLG nicht. Ein Datenschutzverstoß durch diese Form der Versendung liege aufgrund einer Einwilligung der Klägerin nach Art. 6 Abs. 1 Satz 1 lit. a) DSGVO nicht vor. Eine Einwilligung ist nach Art. 4 Nr. 11 DSGVO jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Diese Voraussetzungen liegen nach Ansicht des OLG in diesem Fall vor.
Die Klägerin habe unmissverständlich zum Ausdruck gebracht, dass sie mit der Übersendung der Gesundheitsakte per E-Mail einverstanden ist. Im Verlauf des Gesprächs mit der Sachbearbeiterin teilte sie dieser ihre E-Mail-Adresse mit. Das konnte diese nicht anders verstehen und kann auch objektiv nicht anders verstanden werden, als dass die Klägerin die Gesundheitsakte schließlich doch per E-Mail übersandt erhalten wollte. Dabei musste ihr zugleich klar sein, dass diese Übersendung weder verschlüsselt noch in pseudonymisierter Form erfolgen würde. Über solche besonderen Formen der Versendung hatte die Klägerin mit dem Zeugen nicht gesprochen. Entsprechende Wünsche hatte sie nicht geäußert. Ein für die Entschlüsselung notwendiges Passwort war nicht ausgetauscht worden.
Der wirksamen Einwilligung steht nach Ansicht des OLG nicht deren fehlende Freiwilligkeit entgegen. Freiwilligkeit wäre zu verneinen, wenn die Erklärung entgegen Erwägungsgrund 42 Satz 5 DSGVO von der Klägerin unter Druck oder Zwang abgegeben worden wäre. Das sei hier indes nicht der Fall gewesen. Die Klägerin habe die Möglichkeit gehabt, auf einem Postversand zu bestehen.
Der wirksamen Einwilligung der Klägerin stehe ebenfalls nicht entgegen, dass sie diese nicht in informierter Weise erklärt hatte. Das Merkmal der Erklärung der Einwilligung in informierter Weise verlangt, dass die betroffene Person abschätzen können muss, welche Auswirkungen die Erteilung der Einwilligung für sie hat. Nach ihrer informatorischen Anhörung hatte das OLG nicht die geringsten Zweifel, dass die Klägerin die Problematik und die Gefahren einer unverschlüsselten Versendung ihrer nicht pseudonymisierten Gesundheitsakte erkannt hat.
Soweit das Landgericht im Zuge seiner Prüfung des Art. 32 DSGVO angenommen hat, ein Verzicht auf ein verschlüsseltes Versenden von Daten sei nach der DSGVO nicht möglich, überzeugt dies das OLG im Hinblick auf die von der Klägerin erklärte Einwilligung nicht. Die Einwilligung ist ein auf der privatautonomen Entscheidung des Betroffenen beruhender Rechtfertigungstatbestand. Es widerspräche der Privatautonomie, wenn die Einwilligung nicht zu einem Verzicht auf Anonymisierungs-, Pseudonymisierungs- sowie Verschlüsselungstechniken führen könnte.
Infolge des in dem E-Mail-Versand an das falsche E-Mail-Postfach liegenden Verstoßes gegen die Vorschriften der DSGVO habe die Klägerin einen immateriellen Schaden erlitten. Als immaterieller Schaden der Klägerin stelle sich die mit dem Verlust der Datenkontrolle verbundene seelisch belastende Ungewissheit über das Schicksal ihrer Daten dar. Dafür, dass darin ein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO liegen kann, spreche nicht nur Erwägungsgrund 75 der DSGVO, wo dem Schadensbegriff auch der Verlust der Kontrolle über personenbezogene Daten zugeordnet wird. Dafür spricht auch, dass in den meisten Rechtsordnungen mit dem Begriff des immateriellen Schadens Schäden wie seelisches Leid oder Beeinträchtigungen der Lebensqualität erfasst werden.
Dahinstehen kann nach Ansicht des OLG, ob Voraussetzung eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO ist, dass der durch den Datenschutzverstoß entstandene immaterielle Schaden ein gewisses Gewicht erreicht haben muss. Der der Klägerin hier entstandene immaterielle Schaden habe ausreichendes Gewicht. Sie habe nicht nur einen Bagatellschaden erlitten, der gegebenenfalls keines Ausgleichs nach Art. 82 Abs. 1 DSGVO bedürfte. Angesichts des Umfangs und der Bedeutung der Daten, über welche die Klägerin über viele Monate die Kontrolle verloren hat, und angesichts der Sorgen und Befürchtungen, unter denen sie aufgrund des Datenverlusts in dieser Zeit gelitten hat, ist eine etwaige Bagatellschwelle zweifelsfrei überschritten. Insoweit ist zu berücksichtigen, dass die DSGVO Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DSGVO, wie sie hier betroffen sind, durch das grundsätzliche Verarbeitungsverbot in Art. 9 Abs. 1 DSGVO als besonders sensible Datenkategorie anerkennt. Es kommt hinzu, dass der hier betroffene Auszug aus der Gesundheitsakte der Klägerin nicht nur sehr umfangreich war, sondern auch höchst intime Gesundheitsinformationen enthielt.
Fazit
Nach Ansicht des OLG Düsseldorf kann auf das Verschlüsseln von Daten verzichtet werden, wenn der Empfänger wirksam eingewilligt hat. Diese Ansicht wird aber derzeit nicht von den Datenschutzaufsichtsbehörden geteilt.
Fundstelle: Urteil des Oberlandesgerichts Düsseldorf vom 28.10.2021, 16 U 275/20 – abrufbar im Internet unter https://www.justiz.nrw.de/nrwe/olgs/duesseldorf/j2021/16_U_275_20_Urteil_20211028.html