OLG Düsseldorf: 2.000,- DSGVO-Schadensersatz, wenn Krankenkasse Gesundheitsakte an falsche E-Mail-Adresse versendet

Verschickt eine Krankenkasse die Gesundheitsdaten an eine falsche E-Mail-Adresse, so steht der Betroffenen ein Schadensersatzanspruch nach Art. 82 DSGVO iHv. 2.000,- EUR zu (OLG Düsseldorf, Urt. v. 28.10.2021 - Az.: 16 U 275/20).

Die Klägerin war bei der Beklagten, einer Krankenkasse, versichert. Sie bat telefonisch um Übersendung ihrer Gesundheitsakte per E-Mail, da sie den Abschluss einer privaten Krankentagegeldversicherung plane. Die Beklagte versendete die Informationen unverschlüsselt und ohne jede Pseudonymisierung an eine falsche elektronische Empfängeradresse.

Daraufhin begehrte die Klägerin 15.000,- EUR Schadensersatz.

Zu Unrecht wie das OLG Düsseldorf nun entschied.

Es liege zwar ein Datenschutzverstoß vor, der jedoch "nur" zu einer Ersatzhöhe von 2.000,- EUR berechtige:

"Soweit das Landgericht zudem als einen Datenschutzverstoß der Beklagten beanstandet, dass der Zeuge A. die E-Mail unverschlüsselt und mit unverschlüsselter bzw. nicht pseudonymisierter Gesundheitsakte als Anhang versandt hat, überzeugt auch das nicht. Ein Datenschutzverstoß durch diese Form der Versendung liegt aufgrund einer Einwilligung der Klägerin nach Art. 6 Abs. 1 Satz 1 lit. a) DSGVO nicht vor. Eine Einwilligung ist nach Art. 4 Nr. 11 DSGVO jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Diese Voraussetzungen liegen hier vor.

Die Klägerin hat unmissverständlich zum Ausdruck gebracht, dass sie mit der Übersendung der Gesundheitsakte per E-Mail einverstanden ist. Im Verlauf des Gesprächs mit dem Zeugen A. teilte sie dem Zeugen ihre E-Mail-Adresse mit. Das konnte dieser nicht anders verstehen und kann auch objektiv nicht anders verstanden werden, als dass die Klägerin die Gesundheitsakte schließlich doch per E-Mail übersandt erhalten wollte. Dabei musste ihr zugleich klar sein, dass diese Übersendung weder verschlüsselt noch in pseudonymisierter Form erfolgen würde. Über solche besonderen Formen der Versendung hatte die Klägerin mit dem Zeugen nicht gesprochen. Entsprechende Wünsche hatte sie nicht geäußert. Ein für die Entschlüsselung notwendiges Passwort war nicht ausgetauscht worden."

Und weiter:

"In der Höhe begrenzend wirkt sich bei der Bemessung des Schadensersatzanspruchs schließlich in besonderem Maße aus, dass es bei einem zeitweisen Kontrollverlust über die Gesundheitsdaten verblieben ist. Zu einer Kenntnisnahme der Daten durch Dritte oder einer Weiterverbreitung oder gar Veröffentlichung ist es nicht gekommen. Die fehlgeleitete E-Mail und ihr Anhang sind bis zur Löschung des E-Mail-Postfachs am 14. August 2019 vom Postfachinhaber nicht mehr zur Kenntnis genommen worden.

Die berechtigten Sorgen der Klägerin haben sich letztlich als unbegründet herausgestellt. Nachdem sie hiervon erfahren hatte, bestand auch kein Anlass, sich deswegen noch länger seelisch belastet zu fühlen. Eine etwaige Einsichtnahme in die Daten auf dem Übermittlungsweg, für die im Übrigen nichts spricht, hat aus dem bereits dargelegten Grund unberücksichtigt zu bleiben.

Der Senat hat schließlich keinen Anlass, den Schadensersatzbetrag im Hinblick auf eine damit zu erzielende abschreckende Wirkung gesondert zu erhöhen. Ob einem nach Art. 82 Abs. 1 DSGVO zuzusprechenden Schadensersatzbetrag per se eine abschreckende Wirkung zukommen muss, wie teilweise vertreten wird, hält der Senat für zweifelhaft (...)

Über den zugesprochenen Schadensersatzbetrag von 2.000,- € hinausgehende Ansprüche der Klägerin aus anderen Anspruchsgrundlagen, die neben Art. 82 Abs. 1 DSGVO einschlägig sein können, etwa aus Amtshaftung, bestehen hier nicht."