Mit Urteil vom 28.10.2021 hat das OLG Düsseldorf über einen Schadensersatzanspruch nach Art. 82 DSGVO aufgrund der Übersendung einer Gesundheitsakte an eine falsche E-Mail-Adresse entschieden.
Die Klägerin machte im vorliegenden Verfahren einen Anspruch auf Schmerzensgeld in Höhe von EUR 15.000,- gegenüber einer Krankenversicherung geltend, bei der sie seit mehreren Jahren gesetzlich versichert war. Die Klägerin meldete sich telefonisch bei der Beklagten, um sich den die letzten Jahre betreffenden Inhalt ihrer Gesundheitsakte zusenden zu lassen. Während des Telefonats nannte die Klägerin ihre E-Mail-Adresse zum Zwecke der Zusendung, wobei der Mitarbeiter der Beklagten die Adresse in einer abweichenden Schreibweise notierte. An diese falsch notierte E-Mail-Adresse übersandte der Mitarbeiter den geforderten Akteninhalt, ohne dabei die E-Mail oder den Dateianhang zu verschlüsseln oder zu pseudonymisieren.
Das OLG hat entschieden, dass der Klägerin ein Anspruch auf Schadensersatz aus Art. 82 Abs. 1 DSGVO zusteht, da sie infolge des Versendens ihrer Gesundheitsakte an die falsche E-Mail-Adresse einen immateriellen Schaden erlitten habe. In dem Versand der E-Mail mit der Gesundheitsakte der Klägerin an die falsche E-Mail-Adresse liegt ein Verstoß gegen die DSGVO. Nach Ansicht des Gerichts lag eine unrechtmäßige Datenverarbeitung vor, zu welcher gemäß Art. 4 Nr. 2 DSGVO auch die Offenlegung durch Übermittlung gehört. Diese ist nur dann rechtmäßig, wenn die betroffene Person gemäß Art. 6. Abs. 1 S. 1 a) DSGVO ihre Einwilligung zu der Verarbeitung gegeben hat oder eine der übrigen Rechtmäßigkeitsvoraussetzungen aus Art. 6 Abs. 1 S. 1 DSGVO vorliegen. Dies sei vorliegend nicht der Fall gewesen. Die Klägerin habe nicht in die Übersendung an eine fremde E-Mail-Adresse eingewilligt. Auch lagen nach Ansicht des Gerichts keine anderen Rechtsmäßigkeitsvoraussetzungen für die Übersendung vor.
Weitere Datenschutzverstöße seien indes nicht feststellbar. Insbesondere liege kein Verstoß gegen Art. 32 DSGVO vor. Nach Ansicht des Gericht liege kein Datenschutzverbot vor, da die Klägerin in die gewählte Form der Versendung eingewilligt habe. Die Klägerin habe in dem Telefonat mit dem Mitarbeiter der Beklagten unmissverständlich zum Ausdruck gebracht, dass sie mit der Übersendung der Gesundheitsakte per E-Mail einverstanden sei. Dabei muss ihr zugleich klar gewesen sein, dass die Übersendung weder verschlüsselt noch in pseudonymisierter Form erfolgen würde, da über eine solche besondere Form der Versendung in dem Telefonat nicht gesprochen worden sei.
Das Gericht hat darüber hinaus entschieden, dass der Klägerin durch diesen Vorgang ein immaterieller Schaden entstanden ist. Dieser liege in der mit dem Verlust der Datenkontrolle verbundenen seelisch belastenden Ungewissheit über das Schicksal ihrer Daten. Angesichts des Umfangs und der Bedeutung der Daten, über welche die Klägerin über mehrere Monate die Kontrolle verloren hat, und angesichts der Sorgen und Befürchtungen, unter denen die Klägerin nach Ansicht des Gerichts aufgrund des Datenverlusts in dieser Zeit gelitten habe, sei auch eine etwaige Bagatellschwelle überschritten.
Das OLG begrenzte den Schadensersatzanspruch jedoch auf einen Betrag in Höhe von EUR 2.000,-. Zwar handele es sich bei den fraglichen Daten um Gesundheitsdaten, die an sich schon von besonderer Sensibilität seien, das Gericht führt aber aus, dass diese Daten im vorliegenden Fall auch besonders umfangreich gewesen seien. Bei der Klägerin sei zudem ein zehnmonatiger Kontrollverlust entstanden. Der Datenschutzverstoß blieb nach der Auffassung des Gerichts auch nicht ohne psychische Folgen bei der Klägerin.
Der Höhe nach hat das Gericht den Schadensersatzanspruch aber insbesondere durch die Tatsache, dass es bei einem zeitweisen Kontrollverlust über die Daten verblieben sei, begrenzt. Zu einer Kenntnisnahme der Daten durch Dritte oder einer Weiterverbreitung oder gar Veröffentlichung sei es im vorliegenden Fall nicht gekommen. Die diesbezüglichen Sorgen der Klägerin hatten sich letztlich als unbegründet herausgestellt.
OLG Düsseldorf, Urteil vom 28.10.2021, Az.: 16 U 275/20