Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Fit für die DSGVO finden Sie jetzt hier
Urteil
29. März 2022

Schadensersatz: Gesundheitsdaten in falschen Händen

Gratis
Schadensersatz und Schmerzensgeld: Kommen Gesundheitsdaten abhanden, kann es für Verantwortliche teuer werden
Bild: iStock.com / elenabs
4,50 (2)
Inhalte in diesem Beitrag
Schadenersatz nach DSGVO
Ihre Krankenkasse schickt Ihnen per Mail Ihre Gesundheitsdaten der letzten drei Jahre zu - doch die Nachricht kommt nie bei Ihnen an. Dafür aufgrund eines Fehlers bei einem anderen Empfänger. Hier kann nach DSGVO Schadensersatz fällig sein.

Eine Frau will Gesundheitsfragen korrekt beantworten

Die Klägerin ist gesetzlich krankenversichert – so wie die meisten Menschen in Deutschland. Bei einer privaten Krankenversicherung wollte sie zusätzlich eine Krankentagegeld-Versicherung abschließen. Das ging nicht ohne Gesundheitsfragen. Bei den Antworten auf diese Fragen wollte sie auf keinen Fall etwas falsch machen.

Sie fordert die Gesundheitsakte der gesetzlichen Kasse an

Ein Versicherungsmakler riet ihr, sie solle ihre Gesundheitsakte bei der gesetzlichen Krankenversicherung anfordern. Dies sei die beste Informationsquelle. Genau das veranlasste die Frau. Sie rief bei der Krankenkasse an und bat darum, ihr den Inhalt der Gesundheitsakte für die letzten drei Jahre zuzusenden.

Ihre Mailadresse wird nicht richtig notiert

Bei diesem Telefonat sprach sie mit einem Mitarbeiter der Krankenkasse, der sie um ihre E-Mail-Adresse bat. Der Mitarbeiter hörte entweder nicht genau hin oder er verschrieb sich. Statt an die korrekte E-Mail-Adresse „B1@fff.de“ sandte er die Mail mit dem Auszug der Gesundheitsakte deshalb an die falsche E-Mail-Adresse „B2@fff.de“.

Die Gesundheitsakte geht an eine falsche Mailadresse

Nach einiger Zeit wunderte sich die Klägerin, dass bei ihr keine Mail ankam. Deshalb rief sie erneut bei der Krankenkasse an. Dabei stellte sich heraus, dass der Krankenkassen-Mitarbeiter die falsche Mailadresse benutzt hatte. Einen zweiten Versuch per Mail wollte die Frau verständlicherweise nicht mehr riskieren. Deshalb sandte ihr die Krankenkasse den Auszug aus der Gesundheitsakte per Briefpost zu.

Die Frau will deshalb Schmerzensgeld

Die Frau ist empört. Nach ihrer Darstellung leidet sie sehr daran, dass jetzt irgendwelche Unbekannten den Inhalt ihrer Gesundheitsakte kennen. Sie habe deshalb zeitweise kaum noch schlafen können. Als Ausgleich dafür fordert sie Schadensersatz in Form von Schmerzensgeld.

15.000 € / 4.000 € / 500 € – welcher Betrag ist gerecht?

Nach der Vorstellung der Frau soll ihr die Krankenkasse 15.000 € zahlen. 500 € bot ihr die Krankenkasse von sich aus an, ohne Anerkennung einer Rechtspflicht. Darauf ging die Frau jedoch nicht ein. Sie erhob beim örtlich zuständigen Landgericht Klage auf Zahlung von 15.000 €. So viel wollte ihr das Landgericht zwar nicht zugestehen. Immerhin 4.000 € hielt es jedoch für angemessen.

Der Streit geht in die zweite Instanz

Mit diesem Betrag waren beide Seiten nicht zufrieden. Der Krankenkasse war er deutlich zu hoch, der Frau als Klägerin deutlich zu niedrig. Deshalb ging der Rechtsstreit in die nächste Instanz zum Oberlandesgericht (OLG) Düsseldorf.

Laut OLG sind 2.000 € angemessen

Das Oberlandesgericht hält ein Schmerzensgeld in Höhe von 2.000 € für angemessen. Damit sei es aber auch genug. Rechtsgrundlage für das Schmerzensgeld ist Art. 82 Abs. 1 Datenschutz-Grundverordnung (DSGVO). Die Voraussetzungen dieser Vorschrift seien erfüllt:

Die Voraussetzungen von Art. 82 DSGVO sind erfüllt

  • Durch den Versand der E-Mail mit dem Auszug aus der Gesundheitsakte an die falsche Mailadresse hat die Krankenkasse gegen die DSGVO verstoßen.
  • Es liegt auf der Hand, dass die Klägerin in den Versand an die falsche Mailadresse nicht eingewilligt hat.
  • Es gibt auch keine Rechtsvorschrift, die den Versand an eine falsche Mailadresse erlauben würde.

Zahlreiche Gesichtspunkte sprechen gegen die Krankenkasse

Als Schmerzensgeld hält das Gericht 2.000 € für geboten, aber auch für ausreichend. Dabei berücksichtigt es zu Lasten der Krankenkasse folgende Faktoren:

  • Der Auszug aus der Krankenakte bestand aus Gesundheitsdaten, also aus einer besonderen Kategorie personenbezogener Daten. Und Gesundheitsdaten sind schon für sich genommen von besonderer Sensibilität.
  • Der Umfang dieser Gesundheitsdaten war beträchtlich. Auf über 100 Seiten waren für den Zeitraum vom 1.1.2015 bis zum 14.12.2018 alle Behandlungen, Therapien und Medikationen der Klägerin enthalten. Dazu gehörte auch eine ganze Reihe von Angaben zum gynäkologischen Bereich, die Rückschlüsse auf ihr Sexualleben und ihre sexuelle Orientierung zu lassen. Ferner enthielt der Aktenauszug den Namen und die Wohnanschrift der Klägerin.
  • Zwar konnte die Krankenkasse nach zehn Monaten erreichen, dass der falsche Mailempfänger die ihm übermittelte Mail löscht, ohne sie vorher gelesen zu haben. Denn er hatte die von der Krankenkasse verwendete falsche E-Mail-Adresse seit langem nicht mehr aktiv genutzt. Dies ändert aber nichts daran, dass für die Klägerin ein zehnmonatiger Kontrollverlust über ihre Gesundheitsdaten gegeben war.
  • Die seelische Belastung, die die Klägerin schildert, ist glaubwürdig und nachvollziehbar.
  • Hinzu kommt, dass die Krankenkasse sich um die Angelegenheit längere Zeit nur schleppend gekümmert hatte. Erst als die Klägerin einen Rechtsanwalt beauftragte, wurde die Krankenkasse schließlich aktiv und sorgte für die Löschung der Mail.

Andererseits ist letzten Endes „nichts passiert“

Auf der anderen Seite sieht das Gericht keinen Anlass, ein höheres Schmerzensgeld zuzusprechen. In dieser Hinsicht weist es auf folgende Aspekte hin:

  • Die durchaus berechtigten Sorgen der Klägerin haben sich letztlich als unbegründet herausgestellt. Irgendwelche außenstehende Personen haben keine Gesundheitsdaten der Klägerin zur Kenntnis genommen.
  • Das Argument der Klägerin, sie habe einer Versendung per Mail überhaupt nicht zugestimmt, hält das Gericht für unglaubwürdig. Immerhin stehe fest, dass sie der Krankenkasse ihre Mailadresse telefonisch genannt habe. Diese Mailadresse war der Krankenkasse vorher nicht bekannt.
Datenschutz-Management kompakt online

Datenschutz-Management kompakt ist die umfassende Lösung für die effiziente und rechtssichere Umsetzung der gesetzlichen Datenschutz-Vorgaben.

Profitieren Sie von den Erläuterungen und Umsetzungstipps zahlreicher erfahrener Datenschutzbeauftragter und Fachanwälten zum Datenschutzrecht.

 

2.000 € erscheinen fair

Im Ergebnis dürfte die Höhe des Schmerzensgelds zumindest gut vertretbar sein. Letztlich geht es „nur“ – aber immerhin – um einen zeitlich begrenzten Kontrollverlust über die eigenen Gesundheitsdaten. Im Ergebnis ist mit den Daten allerdings tatsächlich „nichts passiert“.

Eigentlich haben die falschen Gerichte entschieden

Manche Leserin und mancher Leser wird sich vielleicht wundern, warum hier Zivilgerichte (Landgericht und Oberlandesgericht) über den Rechtsstreit entschieden haben. Da es um das Fehlverhalten einer gesetzlichen Krankenkasse geht, würde man eher damit rechnen, dass für einen solchen Rechtsstreit die Sozialgerichte zuständig sind.

Das OLG konnte das nicht mehr korrigieren

Dies ist auch tatsächlich der Fall. Warum auch immer hat das Landgericht das jedoch nicht bemerkt, sich mit dem Rechtsstreit befasst und sogar ein Urteil dazu verkündet. In solchen Situationen gilt, dass eine Verweisung des Rechtsstreits an die eigentlich zuständige Gerichtsbarkeit (hier: die Sozialgerichtsbarkeit) nicht mehr möglich ist. Das Gerichtsverfassungsgesetz legt dies ausdrücklich so fest, und darauf hat das Oberlandesgericht hingewiesen. Erstaunlich ist es trotzdem, dass die fehlende Zuständigkeit so lange niemandem aufgefallen ist.

Das Urteil des Oberlandesgerichts Düsseldorf vom 28.10.2021 – 16 U 275/20 ist abrufbar unter http://www.justiz.nrw.de/nrwe/olgs/duesseldorf/j2021/16_U_275_20_Urteil_20211028.html.

Dr. Eugen Ehmann

Dr. Eugen Ehmann
Verfasst von
Dr. Eugen Ehmann
Dr. Eugen Ehmann
Dr. Eugen Ehmann ist ausgewiesener Fachmann auf dem Gebiet des Datenschutzes in Unternehmen und Behörden. Er ist Herausgeber eines renommierten DSGVO-Kommentars und Autor zahlreicher Beiträge in der Datenschutz PRAXIS sowie in vielen weiteren Datenschutz-Veröffentlichungen. Außerdem moderiert er seit 2003 den Datenschutz-Kongress IDACON .
0 Kommentare
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.