Die versehentliche Offenlegung von personenbezogenen Daten durch Mitarbeiter eines Corona-Impfzentrums veranlasste das OLG Hamm dazu, sich mit dem immateriellen Schadensersatz nach der DSGVO zu befassen. In seinem Urteil bestätigte das OLG insbesondere die Abtretbarkeit des Ersatzanspruches nach Art. 82 DSGVO und behandelte die Anforderungen an datenschutzrechtliche Sicherheitsmaßnahmen. Zudem konkretisierte das Gericht, dass ein immaterieller Schaden nicht schon dann gegeben ist, wenn sich lediglich das allgemeine Risiko einer unbefugten Datenweitergabe realisiert.
Was ist passiert?
Das Oberlandesgericht (OLG) Hamm beschäftigte sich vor Kurzem mit einer Datenpanne in einem Corona-Impfzentrum (Urteil vom 24.07.2024 – 11 U 69/23). Die Beklagte im vorliegenden Fall betrieb dieses Impfzentrum während der Covid-19-Pandemie. Aufgrund einer Änderung der Öffnungszeiten mussten 1.200 Impftermine verlegt werden. Die Personen, deren Termine verlegt werden mussten, sollten per E-Mail darüber informiert werden. Es gab zunächst technische Schwierigkeiten beim Versand der Info-Mail. Als sie dann versendet wurden, befanden sich im Anhang versehentlich Excel-Tabellen, die personenbezogene Daten aller – ca. 13.000 – Kunden des Impfzentrums enthielten. Die Empfänger wurden zur unverzüglichen Löschung aufgefordert und die betroffenen Personen, die Öffentlichkeit sowie die Aufsichtsbehörde wurden über den Vorfall informiert.
Die Klägerin dieses Verfahrens machte den Betroffenen daraufhin ein Angebot: Die Betroffenen sollten von ihr eine Sofortentschädigung erhalten, wenn sie ihr etwaige Schadensersatzansprüche infolge des Vorfalls gegen die Beklagte abtreten. Es kamen einige Abtretungsverträge zustande, auf deren Grundlage die Klägerin immateriellen Schadensersatz aus Art. 82 Abs. 1, 2 DSGVO vom Impfzentrum verlangte.
Abtretbarkeit des Schadensersatzanspruches
Die Beklagte bestritt zunächst die Abtretbarkeit dieser Schadensersatzansprüche. Das OLG entschied jedoch: Ein Schadensersatz nach Art. 82 DSGVO wegen Verletzung des Schutzes personenbezogener Daten ist abtretbar.
Zur Diskussion stand, ob es sich hierbei um einen höchstpersönlichen Anspruch handelt, dessen Abtretung dann gem. § 399 BGB ausgeschlossen wäre. Art. 82 DSGVO bezwecke die Kompensation der Persönlichkeitsrechtsverletzung der betroffenen Person, was auch nur von dieser Person geltend gemacht werden könne.
Das OLG lehnte diese Auffassung jedoch ab, denn der Anspruch ist nicht höchstpersönlich. Es handelt sich bei Art. 82 DSGVO um eine eigenständige Anspruchsgrundlage, die nach allgemeinem Zivilrecht abtretbar ist. Im Vordergrund steht zum einen ein Datenschutzverstoß und nicht etwa die Verletzung des (höchstpersönlichen) Allgemeinen Persönlichkeitsrechts. Und zum anderen die Ausgleichsfunktion des Anspruchs: Er soll den finanziellen Ausgleich des entstandenen (ggf. immateriellen) Schadens sicherstellen. Zudem soll Art. 82 DSGVO zu einem EU-weit gleichmäßigen und hohen Datenschutzniveau beitragen, was eine über den persönlichen Schutz hinausgehende Funktion darstellt. Dass der Schuldner dieses Schadensersatzanspruches – das Impfzentrum – ein schutzwürdiges Interesse daran hat, dass die Person des Gläubigers sich nicht ändert, ist hier auch nicht zu erkennen (Rn. 76).
Unrechtmäßige Datenverarbeitungen und mangelnde Sicherheitsvorkehrungen
Im vorliegenden Fall gab es verschiedene Datenschutzverstöße – allerdings nur bei wenigen von der Datenweitergabe betroffenen Personen. Durch die Versendung der Excel-Tabellen wurde gegen Art. 5 Abs. 1 lit. a und f DSGVO verstoßen, da keine Rechtfertigung für die Weitergabe der Daten vorhanden war. Dabei wurde gleichzeitig gegen Art. 9 Abs. 1 DSGVO verstoßen, da es sich hier unter anderem um Gesundheitsdaten handelte (Rn. 142, 144).
Art. 24 sowie Art. 32 DSGVO wurden ebenfalls verletzt. Es wurden von dem Impfzentrum keine ausreichenden Sicherheitsvorkehrungen getroffen, um die Datenschutzverletzungen zu vermeiden. Es gab zwar generelle Sicherheitsmaßnahmen, wie die Sensibilisierung der Mitarbeiter bzgl. personenbezogener Daten, ein „Vier-Augen-Prinzip“ bei der Versendung von E-Mails oder die Anweisung, Dritten keine personenbezogenen Daten offenzulegen. Hier handelte es sich jedoch um eine besondere Situation, in der eine zügige Information der betroffenen Impfwilligen nötig war. Gerade für eine solche Situation, in der es dazu auch noch technische Schwierigkeiten gab, hätte es Anweisungen für die Mitarbeitenden des Impfzentrums geben müssen, wie zu verfahren ist. Zumindest hätten solche Anweisungen in dem Moment vom Leiter der hier zuständigen „Koordinierenden Einheit“ eingeholt werden müssen. Er hätte zudem noch einmal die E-Mail vor ihrer Versendung kontrollieren müssen (Rn. 146 ff).
Fahrlässiger DSGVO-Verstoß
Das OLG bewertet die Versendung der Mail samt vollständiger Anhänge als fahrlässig und bejaht deshalb auch das Verschulden der Beklagten. Aber auch schon im Vorhinein wäre es Sache der Beklagten gewesen, „dafür zu sorgen, dass in besonderen Situationen wie der vorliegenden, die im alltäglichen Arbeitsablauf nicht vorkommen und für die es deshalb keine konkreten Weisungen der Beklagten gibt, von ihren Mitarbeitern der Koordinierenden Einheit vor der Verarbeitung der personenbezogenen Daten Anweisungen […] eingeholt werden“ (Rn. 154 ff.).
Immaterieller Schaden muss über generelles Risiko hinausgehen
Wie bereits vom EuGH betont wurde, genügt der reine DSGVO-Verstoß noch nicht für einen Anspruch auf Schadensersatz. Es muss dazu gesondert festgestellt werden, dass ein (materieller oder immaterieller) Schaden wirklich entstanden ist (Rs. C-687/21). Vorliegend wird der Verlust der Kontrolle über personenbezogene Daten als immaterieller Schaden geltend gemacht. Auch das hat der EuGH bereits als grundsätzlich möglichen immateriellen Schaden anerkannt, solange der Schaden – egal in welcher Höhe –nachgewiesen wird (Rs. C-741/21).
Das OLG schränkt dies nun etwas ein: Bei der Offenlegung oder Zugänglichmachung von Daten verlieren die betroffenen Personen automatisch die Kontrolle über ihre Daten. Das stellt lediglich die „Realisierung des generellen Risikos“ dar, die noch nicht für einen Schaden im Sinne von Art. 82 DSGVO ausreichen soll. Notwendig ist darüber hinaus, dass eine „weitergehende Beeinträchtigung des vom Kontrollverlust betroffenen Geschädigten“ vorliegt, wobei auch die nachgewiesene Befürchtung einer Datenweitergabe aufgrund des Kontrollverlusts ausreicht. Das bloße Bekanntwerden der offengelegten Daten ist auch nicht für einen Schaden ausreichend, da es sich hierbei ebenfalls um eine unmittelbare Folge des Datenschutzverstoßes handelt (Rn. 168 ff.).
Im vorliegenden Fall wurde lediglich bei zwei der vom Datenschutzverstoß betroffenen Personen ein über den Verstoß hinausgehender Schaden bewiesen. Dieser lag zum einen in wiederholt stattfindenden Spam-Anrufen kurz nach Verbreitung der Daten. Die andere Person erhielt unerwünscht eine auf die Impfung bezogene E-Mail von einer unbekannten Adresse.
Was aus diesem Urteil mitzunehmen ist: Zum einen ist ein Anspruch aus Art. 82 DSGVO abtretbar. Wichtig für Verantwortliche, die personenbezogene Daten verarbeiten, ist, dass sie auch für Ausnahmefälle Sicherheitsmaßnahmen regeln müssen. Das kann durch organisatorische Maßnahmen geschehen. Außerdem ist der Kontrollverlust über die eigenen personenbezogenen Daten bloß die Realisierung des Risikos ihrer unbefugten Offenlegung. Für den Anspruch aus Art. 82 DSGVO muss ein darüberhinausgehender Schaden, wie z.B. wiederholte Spam-Mails oder –Anrufe, nachgewiesen werden. Das Urteil zeigt wieder einmal, dass der DSGVO-Schadensersatz ein viel diskutiertes Thema mit noch vielen offenen Fragen ist. Zum Nachlesen zu weiteren vergangenen gerichtlichen Entscheidung hierzu haben wir bereits hier und hier einen Überblick gegeben. Das Urteil des OLG Hamm wird sicherlich nicht das letzte zu diesem Anspruch gewesen sein.