Nicht nur politisch und gesellschaftlich, auch juristisch gibt es mannigfaltige Nachwirkungen der Corona-Pandemie. Ein besonderes Urteil vor diesem Hintergrund steuert nun das OLG Hamm in einem datenschutzrechtlichen Verfahren bei, indem es dem dortigen Kläger aufgrund des E-Mail-Fehlversandes einer Excel-Liste – welche ihn betreffende personenbezogene Daten inklusive sensibler Gesundheitsdaten enthielt – durch ein städtisches Impfzentrum 100 € Schadensersatz statt der ursprünglich außergerichtlich begehrten 20.000 € zusprach (vgl. Urteil OLG Hamm vom 20.01.2023, Az. 11 U 88/22).

Hintergrund

Mitarbeiter eines städtischen Impfzentrums fabrizierten eine Datenpanne, indem sie mit einer terminbezogenen E-Mail im Anhang auch eine unverschlüsselte Excel-Liste versendeten, welche personenbezogene Daten (neben Namen, Geburtsdaten, Adressen, Telefonnummern und E-Mail-Kontaktdaten auch Impfstatus sowie bereits verimpfte oder vorgesehene Vakzine) von 13.000 impfwilligen Patienten enthielt. Diese Mail ging samt ohne BCC-Funktion an 1.200 Empfänger raus, wobei nach unmittelbaren Bemerken des Fehlversands 500 E-Mails zurückgerufen werden konnten. Der vom Fehlversand betroffene Kläger verlangte daraufhin von der verantwortlichen Stadt Essen außergerichtlich 20.000 € Schadensersatz. Hauptargumente seinerseits waren dabei insbesondere die Sorge, Opfer von sog. „Phishing-(Betrugs)Mails“ zu werden oder in den Fokus von militanten Impfgegnern zu geraten. Dem hielt die Stadt Essen entgegen, dass der Kläger selbst in sozialen Medien freimütig seinen Impfstatus veröffentlicht habe und sich im Übrigen für ihn aus dem Vorfall keinerlei negative Folgen ergeben hätten, die einen immateriellen Schaden begründen könnten. Hierauf versuchte der Kläger seinen Schadensersatz-Anspruch gerichtlich durchzusetzen. In erster Instanz gelang das zwar grundsätzlich, der Höhe nach aber nicht wie erhofft, denn das damit befasste Landgericht Essen verurteilte die Stadt zu lediglich zu 100 € Schadensersatz. Beide Parteien legten hiergegen Berufung ein, wodurch sich das OLG Hamm der Sache anzunehmen hatte.

Die Entscheidung

Auch das OLG Hamm urteilte, dass der Fehlversand der Exceldatei mitsamt der darin enthaltenen personenbezogenen Daten inklusive besonders sensibler Gesundheitsdaten mehrere Verstöße gegen bestimmte datenschutzrechtliche Normen der DGSVO darstelle und der Kläger deswegen grundsätzlich einen Anspruch auf Schadensersatz nach Art. 82 DSGVO habe.

Zunächst liege ein Verstoß gegen Art. 5 Abs. 1 lit. a DSGVO vor, wonach personenbezogene Daten auf rechtmäßige, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden müssen. Dem entsprach der Fehlversand in keiner Weise, denn mangels diesbezüglicher Rechtsgrundlage war er durch die Offenlegung personenbezogener Daten gegenüber unbefugten Dritten rechtswidrig.

Auch liege durch den Fehlversand ein Verstoß gegen Art. 5 Abs. 1 lit. f DSGVO vor. Nach dieser Vorschrift müssen personenbezogene Daten u.a. in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, insbesondere einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung der betreffenden Daten durch geeignete technische und organisatorische Maßnahmen.

Letztlich stelle der Fehlversand laut dem Urteil des OLG Hamm auch einen Verstoß gegen Art. 9 Abs. 1 DSGVO dar, denn die Impfangaben in der Excelliste seien Gesundheitsdaten, welche aber nur bei Vorliegen bestimmter Erlaubnistatbestände verarbeitet werden dürften. Das wären eine ausdrückliche Einwilligung des Klägers in den Fehlversand seiner Gesundheitsdaten oder eine der in Art. 9 Abs. 2 Buchst. b bis j DSGVO ausdrücklich benannten Legitimationen. Hiervon traf allerdings nichts auf den konkreten Fall zu.

Aber und trotzdem, das OLG Hamm meint wie die Vorinstanz, dass 100 € Schadensersatz in dem konkreten Fall ausreichend seien, um nach Maßgabe der DSGVO den bei dem Kläger eingetretenen immateriellen Schaden zu kompensieren. Dieser sei ihm dadurch entstanden, dass seine in der Excel-Liste enthaltenen personenbezogenen Daten offenbart wurden und er damit die Kontrolle über diese gegenüber Dritten offenbarten Daten verloren habe. Eine darüber hinausgehende immaterielle Schadenssituation konnte der Kläger allerdings nicht nachweisen. Auch macht das OLG Hamm in seinen Urteilsgründen deutlich, dass bei der Höhe des Schadensersatzes aus seiner Sicht keine bestimmte Bagatellgrenze überschritten werden müsse.

Anmerkung

Das Urteil des OLG Hamm ist insofern von besonderer Bedeutung, als dass es sich ausführlich mit dem Bagatell-Begriff in Zusammenhang von immateriellen Schäden mit datenschutzrechtlichen Hintergründen auseinandersetzt. Andere Gerichte haben in der Vergangenheit hierzu durchaus anders geurteilt und aktuell hat das Arbeitsgericht Oldenburg – in einem inhaltlich allerdings anders gelagerten Fall – einem Kläger 10.000 € immateriellen Schadensersatz zugesprochen, ohne dass ein konkreter Schaden dargelegt wurde (vgl. auch diesen Link).

Weitere entsprechende Verfahren sind vor anderen Gerichten und insbesondere auch beim Europäischen Gerichtshof in Luxemburg anhängig. Datenschutzrechtlich bleibt es also nicht nur bezogen auf einzelne Verstöße, sondern auch hinsichtlich des Themas immaterieller Schadensersatz spannend. Aber, um als datenschutzrechtlich Verantwortlicher – wie es auch Inhaber von (Zahn)Arztpraxen sind – diesbezüglich gar nicht erst in die Bredouille zu kommen ist es unbedingt angeraten, datenschutzrechtliche Belange entsprechend den Vorgaben der DSGVO umzusetzen.

RA‘in Walburga van Hövell, LL.M. (Medizinrecht)

lennmed.de Rechtsanwälte

Bonn | Berlin | Baden-Baden

Stichworte: Datenschutz, Impfung, Gesundheitsdaten, Fehlversand, Nachweis, Schaden, Schadensersatz