Die Corona-Pandemie scheint vorbei zu sein, aber deren Auswirkungen spüren wir immer noch. Auch im Datenschutzrecht hat Corona ihre Spuren hinterlassen. Wer erinnert sich nicht an die Zeit, als man nur unter Vorlage eines negativen Testergebnisses oder einer erfolgreichen Impfung Veranstaltungen besuchen durfte? Oder an die Kontaktdatenerfassung bei Restaurantbesuchen? Vor allem aber die Verarbeitung von Impfdaten stand lange im Mittelpunkt, sowohl durch Arbeitgeber als auch durch die Impfzentren.
Der Inhalt im Überblick
Sensible Daten offengelegt
Warum ist die Verarbeitung von Impfdaten so heikel? Angaben zum Impfstatus und alles, was dazugehört, sind Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO. Diese und die weiteren dort genannten Datenkategorien berühren die Privatsphäre sehr stark und sind daher durch die DSGVO besonders geschützt. Vom Grundsatz her dürfen diese Daten gar nicht verarbeitet werden. Dies ist nur dann möglich, wenn eine der in Art. 9 Abs. 2 DSGVO genannten Ausnahmen greift, z. B. dann, wenn die betroffene Person eingewilligt hat oder wenn die Datenverarbeitung zum Schutz lebenswichtiger Interessen erforderlich ist.
Umso schwerwiegender sind die Konsequenzen, wenn in Sachen Datenschutz etwas schiefläuft. Mit einem solchen Fall hatte sich kürzlich das Oberlandesgericht Hamm zu beschäftigen (Urteil vom 20.01.2023, Az. 11 U 88/22). Der betreffende Sachverhalt trug sich bereits im Sommer 2021 zu und schlug bereits damals hohe Wellen. Was war passiert? In einem Impfzentrum der Stadt Essen kam es zu einer gewaltigen Datenpanne, da sensible personenbezogene Daten von über 13.000 Menschen offengelegt worden sind. In der falsch versandten E-Mail befand sich eine Excel-Liste mit vollständigen Namen, Adressen und Geburtsdaten sowie Telefonnummern und E-Mail-Adressen der Betroffenen. Besonders problematisch war, dass auch zu erkennen war, zu welchem Zeitpunkt welche Person geimpft werden sollte, – sogar mit welchem Impfstoff.
Datei nicht passwortgeschützt
Die Liste wurde versehentlich an ca. 1.200 Personen geschickt. Eigentlich sollten die zu impfenden Personen nur über Terminverschiebungen informiert werden. Nach Angaben des Impfzentrums waren die Beschäftigten angewiesen, E-Mails nur unter Wahrung des Vier-Augen-Prinzips zu versenden und beim Versand an mehrere Empfänger die BCC-Funktion zu verwenden. Auch das Einfügen der E-Mail-Adressen in das BCC-Feld und die Kontrolle von Text und Empfängerkreis vor dem Versand einer E-Mail erfolgten unter Wahrung des Vier-Augen-Prinzips. Blöd ist dann nur, wenn es beim Versenden der Mail zu technischen Problemen kommt und der letzte Mitarbeiter in der E-Mail-Kette vergisst, die Excel-Liste – welche übrigens nicht passwortgeschützt war – aus dem Anhang zu entfernen…
Immerhin gelang es den Verantwortlichen, die E-Mail in ca. 500 Fällen zurückzurufen. Ansonsten war das Kind aber schnell in den Brunnen gefallen. Eine der betroffenen Personen machte daraufhin Schadensersatz gegen die Stadt Essen als Betreiberin des Impfzentrums geltend. Nachdem der Geschädigte außergerichtlich zunächst Schmerzensgeld in Höhe von 20.000 Euro verlangt hatte, reduzierte er seine Forderung später vor Gericht auf (mindestens) 10.000 Euro. Der Kläger meint, dass dieser Betrag auch im Hinblick auf den Abschreckungseffekt, der von einer Entschädigung ausgehen müsse, geboten sei.
Schaden durch Phishing-Attacken?
Die Beklagte hat die Forderung des Klägers zurückgewiesen. Sie hat behauptet, dass sich aus dem Vorfall keinerlei negative Folgen für den Kläger ergeben hätten, die einen immateriellen Schaden begründen könnten. Die vom Kläger behauptete Sorge, plötzlich Opfer von „Phishing-Mails“ zu werden oder ins Fadenkreuz militanter Impfgegner zu geraten, sei nicht glaubhaft.
Zudem hatte der Kläger selbst seinen Impfstatus bei Facebook und bei einem Messenger-Dienst veröffentlicht. Daher sei der Kläger bereits nicht schutzwürdig. Die Stadt Essen hatte darüber hinaus argumentiert, dass überhaupt kein Verstoß gegen die DSGVO vorliege, da es nicht erforderlich gewesen sei, die Excel-Liste mit einem Passwort zu sichern. Die Liste sei schließlich nur für den internen Gebrauch bestimmt gewesen.
Schadensersatz ja, aber…
Das Landgericht Essen erkannte zwar einen Verstoß gegen datenschutzrechtliche Vorschriften, sprach dem Kläger aber lediglich ein Schmerzensgeld in Höhe von 100 Euro zu. Zwar hätte die Beklagte durch die Nicht-Verschlüsselung gegen Art. 32 DSGVO und gegen Art. 5 Abs. 1 DSGVO verstoßen, da eine Verschlüsselung unproblematisch möglich und zumutbar gewesen sei. Allerdings sei die Höhe von 100 Euro u. a. deswegen gerechtfertigt, da es sich um einen Fall leichter Fahrlässigkeit gehandelt habe. Ein darüber hinausgehender Schaden sei nicht zu erkennen gewesen:
„Insoweit sei zu berücksichtigen, dass überwiegend die Sozialsphäre des Klägers berührende Daten betroffen seien, es sich um ein bedauerliches Versehen einer Einzelperson in einer absoluten Ausnahmesituation gehandelt habe und die Beklagte alles in ihrer Macht Stehende unternommen habe, um etwaige Risiken so gering wie möglich zu halten.“
Gegen die Entscheidung legten beide Parteien Berufung ein. Das OLG Hamm hat allerdings beide Berufungen zurückgewiesen und das Urteil des Landgerichts in Gänze aufrechterhalten. Auch das OLG hatte keine Zweifel, dass die Beklagte gegen datenschutzrechtliche Vorschriften verstoßen hat und der Kläger daher grundsätzlich einen Anspruch auf Schadensersatz nach Art. 82 DSGVO hat. Auch die technischen Probleme könnten die Beklagte nicht entlasten, da diese ausschließlich in der Sphäre der Beklagten begründet sind.
…der Schaden muss auch nachgewiesen werden!
Und wie kann trotz des großen Empfängerkreises und der Sensibilität der Daten ein Betrag von 100 Euro angemessen sein? Letztendlich fiel die Nicht-Verschlüsselung der Excel-Datei nach Ansicht des OLG Hamm nicht besonders ins Gewicht, da die Liste nachweislich tatsächlich nur für den internen Gebrauch bestimmt gewesen ist. Die weiteren organisatorischen Maßnahmen zur Datensicherheit seien ausreichend gewesen. Das Gericht hat zudem betont, dass eine Absicht der handelnden Personen zu keinem Zeitpunkt vorgelegen habe. Das Entscheidende war hier aber aus Sicht des Gerichts der Wortlaut des Art. 82 DSGVO. Danach muss ein Schaden bereits entstanden sein, und zwar wegen eines Verstoßes gegen die DSGVO.
Das OLG macht dabei deutlich, dass aus seiner Sicht keine Bagatellgrenze überschritten werden müsse. Dies wurde durch die Rechtsprechung in der Vergangenheit auch schon anders bewertet. Zwar habe der Kläger durch die Offenlegung seiner Daten einen Kontrollverlust erlitten, aber einen darüber hinausgehenden Schaden konnte der Kläger offenbar nicht belegen. Die bloße Befürchtung von Phishing-Attacken – ohne weitere konkrete Hinweise – sei nicht ausreichend. Der Kläger konnte z. B. nicht darlegen, dass weitere Daten abgeflossen worden sind.
Auch zur Abschreckungs- und Sanktionswirkung nahm das Gericht Stellung. Zwar dürfte sich aus dem Kläger zuerkannten Betrag vielleicht noch keine abschreckende Wirkung ergeben, aber:
„Allerdings ist hier in den Blick zu nehmen, dass der der Beklagten zuzurechnende Verstoß gegen die DS-GVO hier nicht lediglich den Kläger betrifft, sondern eine Vielzahl weiterer Personen, deren personenbezogene Daten ebenfalls in der übermittelten Excel-Datei enthalten waren.“
Und weiter:
„Dieser Umstand bietet jedenfalls das Potenzial, das sich aus Ansprüchen vieler Betroffener ein durchaus messbarer finanzieller Schadensbetrag bei der Beklagten einstellt.“
Konsequente Anwendung von Art. 82 DSGVO
Auf den ersten Blick mag das Ergebnis überraschend sein, da der Schmerzensgeldbetrag angesichts des Umfangs der Datenpanne nicht stimmig erscheint. Im Grunde ist das Urteil aber nur eine konsequente Anwendung von Art. 82 DSGVO, da der Kläger einen weitergehenden, tatsächlich entstandenen Schaden nicht nachweisen konnte. Bei über 13.000 Geschädigten kann der Vorfall für Stadt Essen insgesamt also noch sehr teuer werden.
Aus meiner Sicht verharmlosen Behörden untereinander mal wieder eine Datenschutzpanne. Selbst das Gericht sieht es als erwiesen, dass es eine Datenschutzverletzung gegeben hat.
Wie soll ein Betroffener nachweisen können, dass sein Name und seine eMail-Adresse nicht in irgendwelchen obskuren Foren gespeichert wurde? Wie kann ein Betroffener sicher sein, dass nicht jede Spam-Mail, jeder versuchte Zugriff auf das eMail-Konto, jeder Kommentar in öffentlichen Foren direkt oder indirekt genau auf diese grobe Fahrlässigkeit zurückzuführen ist? Das Potential ist durchaus gegeben, insbesondere bei dem spaltenden Thema Corona.
Dass die Liste nicht verschlüsselt war ist eine Sache, dass aber das Impfzentrum gegen sein eigens auferlegtes Vier-Augen-Prinzip verstößt, insbesondere beim letzten und wichtigstem Schritt: dem Versenden, ist der zweite Fehler im System – hier hat jegliche Kontrolle völlig versagt.
Auch das Argument, dass die gesamten Schmerzensgeld-Forderungen gegen die Stadt durch noch mehr Schmerzensgeld-Anträge noch höher sein können und daher der Betrag so niedrig ausfalle, ist mE. weder durch den Artikel 82 gedeckt, noch auch nur ansatzweise in den Erwägungsgründen zu finden – Schmerzensgeld hat Fall-individuell bewertet zu werden, und nicht relativ zu möglichen vermehrten Klagen. Die angewandte Argumentation führt die Rechtsprechung bzgl. des Sinns von Schmerzensgeld völlig ad absurdum.
Es ist aber leider bezeichnend, dass Behörden untereinander wiederholt sehr viel nachsichtiger miteinander umgehen. Schön ist in diesem Zusammenhang das explizite Herausheben des Gerichtes, „…dass eine Absicht der handelnden Personen zu keinem Zeitpunkt vorgelegen habe…“. Gerade bei Behörden hat diese Haltung fester Bestandteil des Handelns zu sein, das muss nicht explizit festgestellt werden und gewährt höchstens tieferen Einblick in das Selbstverständnis der handelnden Personen.
Ein Trauerspiel deutscher Behörden-Bürokratie…
Ich bin etwas überrascht ob des letzten Satzes: Ein mögliches Bußgeld gegen die Stadt Essen?
Gilt da nicht Art. 83 VII DSGVO i. V. m. § 43 III BDSG (keine Bußgelder gegen Behörden oder öffentliche Stellen gem. § 2 II BDSG)?
Vielen Dank für den Hinweis. Das ist vollkommen korrekt, im Grundsatz können gegen öffentliche Stellen keine Geldbußen verhängt werden. Das ergibt sich aus denen von Ihnen zitierten Normen, bzw. den entsprechenden Vorschriften in den Landesdatenschutzgesetzen. Diese kennen von diesem Grundsatz aber Ausnahmen, die meist daran anknüpfen, dass die öffentliche Stelle im Wettbewerb mit privaten Stellen steht.
Auf diesem Dampfer waren wir hier: Es gibt auch private Teststationen, die Test werden mit einer gewinnbringenden Pauschale vergütet und das Geld kommt von der kassenärztlichen Vereinigung nicht der Stadt. Wir konnten jetzt aber auf die Schnelle keine Angaben dazu finden, in welcher Form die Testzentren durch die Stadt betrieben und wie deren Test abgerechnet wurden, um abschließend zu beurteilen, ob diese Ausnahme hier tatsächlich greift. Daher haben wir den Abschnitt angepasst.