Versehentliche Weiterleitung personenbezogener Daten: 100 Euro Schadensersatz

Das Oberlandesgericht Hamm (Urt. v. 20.01.2023 - 11 U 88/22) hat einem Kläger 100 Euro Schadensersatz zugesprochen, nachdem seine personenbezogenen Daten versehentlich per Email-Verteiler an 1200 Personen gesendet wurden.

Dirk Streifler – Streifler&Kollegen – Rechtsanwälte Berlin

Versehentliche Weiterleitung personenbezogener Daten

Die Beklagte ist Betreiberin eines Impfzentrums. Im Zuge der Änderung der Öffnungszeiten und der damit verbundenen Notwendigkeit die Termine von 1200 Personen zu verschieben, kam es zur nicht beabsichtigten Weiterleitung von personenbezogenen Daten wie Vor- und Nachname, Anschrift, Geburtsdatum und teilweise auch Mobilfunknummer und Emailadresse. Die weitergeleitete Datei enthielt zudem Angaben zum vorgesehenen Impfstoff und zur Frage, ob es sich um die erste oder zweite Impfung handelte.

Nachdem der Fehler intern bekannt wurde, forderte die Beklagte die Empfänger der Daten zur unverzüglichen Löschung auf und meldete den Vorfall der zuständigen Aufsichtsbehörde. Der Kläger wurde kurze Zeit darauf über den Vorfall schriftlich aufgeklärt. Die Beklagte entschuldigte sich und teilte den Kläger mit, dass die Einschätzung des Datenschutzes, ein geringes Risiko für einen möglichen Datenmissbrauch ergibt.

Betroffener verlangt 20 000 Euro Schadensersatz

Der Kläger forderte zunächst eine Entschädigung in Höhe von 20 000 Euro wegen Datenschutzverstoßes und der daraus folgenden - seiner Ansicht nach gravierenden - Verletzung seines Persönlichkeitsrechts.

Nach Ansicht des Klägers bestehe nicht ein „lediglich geringes Risiko“ für einen Datenmissbrauch. So behauptet er nach der Weiterleitung eine Phishing-Mail erhalten zu haben, mithilfe derer weitere Daten von ihm abgegriffen werden sollten.

Der geforderte Betrag sei zudem insbesondere in Hinblick auf die zunehmende Gewaltbereitschaft militanter Impfgegner und die Tatsache, dass sein vollständiger Name und Anschrift „Kriminellen bekannt geworden“ sind, aus seiner Sicht gerechtfertigt.

Schadensersatzanspruch aus rechtswidriger Verarbeitung personenbezogener Daten gem. Art. 82 DGSVO und gem. § 839 BGB iVm. Art. 34 GG

Das 1. Zivilkammer des Landgericht Essen verurteilte die Beklagte wegen Verstoßes gegen die DSGVO und der daraus folgenden Verletzung seines Rechts auf informationelle Selbstbestimmung als Teil des Persönlichkeitsrechts zur Zahlung eines Schadensersatzes in Höhe von 100 Euro.

Das OLG Hamm hat die entsprechenden Berufungen des Klägers und der Beklagten gegen das Urteil zurückgewiesen. Der Kläger hat demnach lediglich einen Anspruch in Höhe der vom Landgericht  zugesprochenen Summe, mithin 100 Euro.

Erheblichkeit des eingetretenen Schadens keine Voraussetzung für Vorliegen eines Ersatzanspruchs

Hinsichtlich des Vorliegens eines immateriellen Schadens (einem europarechtlichen, mithin autonom auszulegenden Begriff) fordert Erwägungsgrund 146 S. 3 eine weite Auslegung, so das bereits das ungute Gefühl der Ungewissheit, ob personenbezogene Daten unbefugten bekannt geworden sind für die Annahme eines immateriellen Schadens ausreichend ist. Die Entstehung eines spürbaren Nachteils infolge eines Verstoßes gegen die DSGVO ist – anders als teilweise vertreten - keine Voraussetzung für die Begründung eines entsprechenden Schadensersatzanspruchs.

So liegt nach Ansicht des Gerichts beim Kläger unzweifelhaft ein Kontrollverlust seiner personenbezogenen Daten, infolge der Offenbarung dieser gegenüber Dritten, vor, der einen auszugleichenden immateriellen Schaden begründet, unabhängig davon wie geringfügig die Beeinträchtigung war.

Die Bemessung des Schadens richtet sich nach § 287 ZPO, wobei der Erwägungsgrund 146 S. 3 und 6 zur Verordnung (EU) 2016/679 (Datenschutzgrundverordnung, kurz: DSGVO) berücksichtigt werden muss. Danach besteht die Verpflichtung zur Auslegung des Schadensbegriffs in einer Art und Weise, die den Zielen der Verordnung in vollen Umfang entspricht.

Weitergeleitete Daten betreffen Sozial- und Privatsphäre

Bei der Bemessung des Schadens berücksichtigte das Gericht, dass die weitergeleiteten Daten problemlos die Identifizierung des Klägers ermöglichen und, dass es sich bei diesen sowohl um personenbezogene Daten iSv. Art. 4 Nr. 1 DGSVO als auch um – als besonders sensibel geltende, vgl. Art. 9 DGSVO - Gesundheitsdaten iSv. Art. 4 Nr. 15 DGSVO handelte. So sind erstere der Sozialsphäre zuzuordnen, die insbesondere den Bereich umfasst, in dem die Menschen mit anderen sozial agieren, insbesondere in politischer, beruflicher und ehrenamtlicher Hinsicht. Hier erfolgt die Entfaltung der Persönlichkeit von vornherein im Kontakt mit der Umwelt. Dagegen unterfallen die weitergeleiteten Gesundheitsdaten zwar der Privatsphäre des Klägers. Sie lassen jedoch weder auf eine bestimmte Erkrankung noch Disposition schließen, sondern geben lediglich Information über den Impfstatus des Klägers und sind daher weniger schwerwiegend als bei der Offenbarung spezifischer Gesundheitsdaten.

Weiterhin berücksichtigte das Gericht, dass diese Daten an insgesamt 1200 Personen gesendet worden sind, mithin einer Vielzahl von Personen. Der Beklagten sei jedoch positiv entgegenzuhalten, dass aufgrund eines von ihr, unverzüglich nach der Versendung durchgeführten Rückrufs, nur 700 von 1200 Personen diese Daten tatsächlich zur Kenntnis nehmen konnten und dass die Weiterleitung nicht vorsätzlich erfolgte.

Revision zum Bundesgerichtshof zugelassen

Das Gericht weist darauf hin, dass noch Rechtsfragen zur Auslegung des Art. 82 DGSVO offen sind, die der Klärung durch den Europäischen Gerichtshof (EuGH) bedürfen. Insbesondere, die Frage, ob für die Beklagte die Möglichkeit einer Exkulpation wie sie der § 831 Abs. 1 S. 2 BGB vorsieht, besteht, ist noch ungeklärt. Schließlich entschieden sich die Richter gegen die Klärung dieser Fragen im Wege des Vorabentscheidungsverfahrens nach Art. 267 AEUV und für die Zulassung der Revision zum Bundesgerichtshof (BGH).

Haben Sie noch Fragen zum Thema Datenschutz, Datenschutzverstoß oder immaterieller Schadensersatz? Dann nehmen Sie Kontakt zu Streifler&Kollegen auf und lassen Sie sich fachkundig beraten.