OLG Hamm: Schmerzensgeld in Höhe von 100 EUR nach Art. 82 DSGVO für fehlerhafte E-Mail-Versendung von Gesundheitsdaten durch ein Impfzentrum

So das Gericht in seinem Urteil vom 20. Januar 2023 (Az.: 11 U 88/22). Neben ausführlichen Darstellungen zur Anwendung der DSGVO und der Rechtsverletzung, die hier dem Anspruch zugrunde lag, führt das Gericht dann zur Höhe des zustehenden Anspruchs auf Schmerzengeld nach Art. 82 DSGVO unter anderem aus:„…Soweit das Landgericht den dem Kläger zum Ausgleich des ihm entstandenen immateriellen Schadens zustehenden Betrag mit 100,00 Euro bemessen hat, ist hiergegen aus Sicht des Senats nichts zu erinnern.

Ausgehend von dem bereits dargestellten Schadensbegriff gelten bei der Bemessung der Schadenshöhe die im Rahmen von § 253 BGB entwickelten Grundsätze; der Schaden ist nach § 287 ZPO zu schätzen (OLG Koblenz, Urteil vom 18.05.2022 – 5 U 2141/21, juris Rn. 81). Hierbei ist der Erwägungsgrund 146 S. 3 und 6 zur DS-GVO zu berücksichtigen, wonach der Begriff des Schadens auf eine Art und Weise auszulegen ist, die den Zielen der Verordnung in vollem Umfang entspricht und die betroffene Person einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten sollen. Ergänzend können auch in Art. 83 Abs. 2 DS-GVO genannte Kriterien herangezogen werden, obwohl diese Vorschrift nicht die Geltendmachung individueller Entschädigungsansprüche sondern die Verhängung von Geldbußen betrifft; dies gilt insbesondere für Art, Schwere und Dauer des Verstoßes unter Berücksichtigung von Art, Umfang oder Zweck der betreffenden Verarbeitung, den Grad des Verschuldens, Maßnahmen zur Minderung des entstandenen Schadens, frühere Verstöße sowie die Kategorie der betroffenen personenbezogenen Daten (vgl. OLG Düsseldorf, Urteil vom 28.10.2021 – 16 U 275/20, juris Rn. 55 f.; OLG Frankfurt, Urteil vom 14.04.2022 – 3 U 21/20, juris Rn. 56; Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, 42. Edition, Stand 01.08.2022, Art. 82 DS-GVO Rn. 31)…..Zunächst ist zu berücksichtigen, dass die in der Excel-Datei enthaltenen personenbezogenen Daten des Klägers, nämlich vollständiger Name, Anschrift, Geburtsdatum, Telefonnummer und E-Mail-Adresse sowie der für die Impfung vorgesehene Impfstoff und das Datum der Impfung sowie Angaben zur Anzahl der Impfungen in ihrer Gesamtheit ein Datenbündel darstellen, welches problemlos die Identifizierung des Klägers ermöglicht. Auch sind hier nicht lediglich personenbezogene Daten des Klägers im Sinne von Art. 4 Nr. 1 DS-GVO betroffen, sondern auch Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DS-GVO, welche grundsätzlich besonders sensibel sind, wie auch Art. 9 DS-GVO deutlich macht.

Weiter ist in den Blick zu nehmen, dass die Excel-Datei an eine Vielzahl von Personen übersandt wurde. Insoweit hat die Beklagte im Senatstermin klargestellt, dass der Versand an insgesamt 1.200 Personen erfolgte, wobei allerdings ein unmittelbar nach dem Versand erfolgter Rückruf der E-Mail in 500 Fällen Erfolg hatte. Damit haben 700 Personen die Datei erhalten und konnten deren Inhalt auch zur Kenntnis nehmen, da die Datei nicht vor einem einfachen Zugriff geschützt war. Auch ist zu berücksichtigen, dass dieser Versand und damit die Offenbarung der Daten nicht mehr rückgängig zu machen ist. Denn der Kläger hatte bzw. hat keine Möglichkeit, eine etwaige Weitergabe der Daten effektiv zu verhindern oder auch nur zu kontrollieren. Trotz des von der Beklagten unternommenen Versuches, die Empfänger der E-Mail zur Löschung der Datei zu veranlassen, kann eine Weitergabe dieser Dateien an Dritte nicht ausgeschlossen werden.

Damit besteht für den Kläger das Risiko des Erhalts unerwünschter Werbung insbesondere per E-Mail oder von Phishing-E-Mails mit dem Ziel, auf diese Art weitere Informationen vom Kläger zu erlangen. Auch die Möglichkeit eines Identitätsdiebstahls ist ebenso in Betracht zu ziehen wie die Auslösung kostenpflichtiger Bestellungen durch Dritte unter Verwendung der personenbezogenen Daten des Klägers.

Es ist aber auch zu beachten, dass es sich bei den offenbarten personenbezogenen Daten des Klägers im Sinne von Art. 4 Nr. 1 DS-GVO lediglich um solche Daten handelt, welche der Sozialsphäre des Klägers zuzuordnen sind. Die Sozialsphäre betrifft den Bereich, in dem sich die persönliche Entfaltung von vornherein im Kontakt mit der Umwelt vollzieht, also insbesondere das berufliche und politische Wirken des Individuums. Demgegenüber umfasst die Privatsphäre sowohl in räumlicher als auch in thematischer Hinsicht den Bereich, zu dem andere grundsätzlich nur Zugang haben, soweit er ihnen gestattet wird. Dies betrifft in thematischer Hinsicht Angelegenheiten, die wegen ihres Informationsinhalts typischerweise als „privat“ eingestuft werden, etwa weil ihre öffentliche Erörterung als unschicklich gilt, das Bekanntwerden als peinlich empfunden wird oder nachteilige Reaktionen in der Umwelt auslöst (BGH, Urteil vom 20.12.2011 – VI ZR 261/10, juris Rn. 16). Nach dieser Maßgabe sind jedenfalls die personenbezogenen Daten des Klägers, die zur Beschreibung seiner Person dienen, der Sozialsphäre zuzuordnen. Demgegenüber waren von dem Verstoß nicht besonders sensible Daten wie etwa Bank- oder Steuerdaten, Zugangsdaten und Kennwörter oder ähnliche Daten betroffen. Soweit Gesundheitsdaten des Klägers im Sinne von Art. 4 Nr. 15 DS-GVO offenbart wurden, sind diese zwar der Privatsphäre zuzurechnen. Allerdings darf hier nicht außer Acht gelassen werden, dass insbesondere im Hinblick auf den weiten Begriff der Gesundheitsdaten auch hier deren konkreter Inhalt zu berücksichtigen ist. Aus den offenbarten Daten lässt sich allenfalls das Fehlen einer Kontraindikation in der Person des Klägers bezüglich einer zweiten Impfung nach erfolgter Erstimpfung ableiten, nicht aber konkrete Schlüsse auf eine Erkrankung des Klägers oder eine besondere gesundheitliche Disposition. Damit stellt sich die Offenbarung der Gesundheitsdaten hier als weit weniger schwerwiegend dar, als dies etwa bei der Offenbarung spezifischer Gesundheitsdaten wie eines medizinischen Befundes oder einer ärztlichen Diagnose der Fall wäre.

Weiter ist in den Blick zu nehmen, dass der vom Kläger beanstandete Versand der die personenbezogenen Daten des Klägers enthaltenden Datei von der Beklagten zu keinem Zeitpunkt bezweckt war. Denn im Zuge des Betriebs des Impfzentrums benötigte die Beklagte die Datei einmalig für kurze Zeit zum Zwecke der Organisation des Impfzentrums, namentlich um die von der Änderung der Öffnungszeiten betroffenen Personen hierüber zu informieren. Der Versand der Datei beruhte auf einem Versäumnis der handelnden Mitarbeiter im Zug des Versands der E-Mail an die von der Änderung der Öffnungszeiten betroffenen Personen, war aber zu keinem Zeitpunkt intendiert.

Auch ist zu berücksichtigen, dass die Beklagte mit dem Betrieb des Impfzentrums und den damit im Zusammenhang stehenden Tätigkeiten eine öffentliche Aufgabe wahrgenommen hat und insbesondere nicht mit der Absicht handelte, hierbei in irgendeiner Weise Gewinne zu erzielen. Auch der Versand der E-Mail vom 00.00.2021 stand in keinerlei Zusammenhang mit einer gewinnorientierten Tätigkeit.

Ferner ist der geringe Grad des Verschuldens auf Seiten der Beklagten zu berücksichtigen. Insoweit geht der Senat lediglich von einem fahrlässigen Verhalten der Mitarbeiter der Beklagten aus, welche die E-Mail abgesandt haben. Soweit der Kläger hier von einem vorsätzlichen Verstoß ausgeht, hat er schon nicht dargelegt, welche Umstände die Annahme von Vorsatz rechtfertigen sollten. Auch soweit der Kläger meint, es greife insoweit ein Beweis des ersten Anscheins ein, vermag der Senat dem nicht zu folgen. Die Beweiswürdigungsregel des Anscheinsbeweises ist nur bei regelmäßigen (typischen) Geschehensabläufen anwendbar, die nach der Lebenserfahrung auf eine bestimmte Ursache hinweisen (vgl. Laumen, in: Baumgärtel/Laumen/Prütting, Handbuch der Beweislast, 4. Auflage 2019, Kap. 17 Rn. 10). Es ist schon nicht erkennbar, welcher typischen Geschehensablauf hier aufgrund von Erfahrungssätzen den Schluss auf ein vorsätzliches Verhalten erlauben soll. Allein der Versand einer E-Mail mit einem zuvor nicht entfernten Anhang kann zur Überzeugung des Senats jedenfalls nicht die Annahme rechtfertigen, die Übersendung der angehängten Datei sei vorsätzlich erfolgt. Im Hinblick auf die Darstellung der Beklagten von den Abläufen, die zum Versand der E-Mail nebst angehängter Excel-Datei geführt haben und die der Kläger auch im Senatstermin nicht in Abrede gestellt hat, ist die Annahme vorsätzlichen Verhaltens fernliegend. Vielmehr ist davon auszugehen, dass den betroffenen Mitarbeitern der Beklagten und damit auch der Beklagten allenfalls Fahrlässigkeit vorgeworfen werden kann.

Weiter ist zu berücksichtigen, dass nicht ersichtlich ist, dass es bereits vor dem streitgegenständlichen Vorfall zu einem vergleichbaren Verstoß gekommen ist und sich dieser anlässlich des Versands der E-Mail vom 00.00.2021 wiederholt hätte.

Schließlich zu berücksichtigen, dass die Beklagte alles in ihrer Macht Stehende unternommen hat, um den infolge des Verstoßes aufgetretenen Schaden gering zu halten. So wurde unmittelbar nach dem Versand der Mail der Versuch des Rückrufs der E-Mail unternommen, was bei insgesamt 500 Adressaten auch erfolgreich war. Ferner hat die Beklagte auch die Empfänger der E-Mail aufgerufen, die Daten zu löschen. Darüber hinaus hat die Beklagte den Kläger – sowie alle anderen Betroffenen – bereits kurz nach dem Verstoß mit Schreiben vom 05.08.2021 über diesen und über die offenbarten Daten informiert. Nachdem die Beklagte zudem Kenntnis davon erlangt hatte, dass sich eine Europäische Zentrale für Verbraucherschutz per E-Mail an den Kläger und andere Betroffene gewandt hatte, kam es nach dem unbestrittenen Vorbringen der Beklagten auf deren Betreiben auch zu einem Abschalten der Internetseite Webseite01.

Darüber hinaus hat die Beklagte sich mit Schreiben vom 05.08.2021 beim Kläger entschuldigt und den Vorfall der Aufsichtsbehörde angezeigt…“