Urteil : Ein Schmerzensgeldanspruch setzt keine objektiv nachvollziehbare Beeinträchtigung von persönlichkeitsbezogenen Belangen mit gewissem Gewicht voraus : aus der RDV 4/2023 Seite 257 bis 259

Aus den Gründen:

1. Die Beklagte haftet dem Kläger aus Art. 82 Abs. 1 DS-GVO. […]

aa) Es liegt ein Verstoß gegen Art.  5 Abs.  1 Buchst. a) DS-GVO vor.

Danach müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Die Verarbeitung der personenbezogenen Daten des Klägers, die in ihrem Versand als Anhang zu der E-Mail an deren Empfänger zu erblicken ist, und damit ihre Offenlegung gegenüber Dritten war rechtswidrig. Denn die Verarbeitung ist nach Art. 6 Abs. 1 UAbs. 1 DS-GVO nur rechtmäßig, wenn mindestens eine der dort genannten Bedingungen erfüllt ist. Dies ist hier nicht ersichtlich. Weder lag eine Einwilligung des Klägers im Sinne von Art. 6 Abs. 1 UAbs. 1 Buchst. a) DS-GVO vor, noch war die Verarbeitung in Gestalt der Übermittlung als Anhang zu der E-Mail für einen der in Art. 6 Abs. 1 UAbs. 1 Buchst. b) bis f) DS-GVO genannten Zwecke erforderlich.

bb) Es liegt auch ein Verstoß gegen Art. 5 Abs. 1 Buchst. f) DS-GVO vor. […]

Die Vorschrift stellt auf eine angemessene Sicherheit personenbezogener Daten durch geeignete technische und organisatorische Maßnahmen ab. Nach Erwägungsgrund 39 S. 12 zur DS-GVO gehört hierzu unter anderem auch, dass unbefugte Personen weder Zugang zu den Daten noch zu den Geräten haben, mit denen sie verarbeitet werden […].

Die von der Beklagten in zweiter Instanz vorgetragenen und vom Kläger nicht bestrittenen Tatsachen zu den Abläufen im Zusammenhang mit dem Versand der E-Mail vom 18.08.2021 machen deutlich, dass die Beklagte die diesbezüglichen Anforderungen grundsätzlich beachtet hat, da die entsprechenden Daten der Terminbuchungen nur von bestimmten Personen eingesehen, bearbeitet und nur auf bestimmten Geräten gespeichert werden durften. Außerdem wurde, wie von Seiten der Beklagten im Senatstermin am 09.12.2022 noch einmal glaubhaft dargestellt, ein Vier-Augen-Prinzip praktiziert, mit dem einem Missbrauch von personenbezogenen Daten und auch unbeabsichtigten Fehlern bei der Datenverarbeitung entgegengewirkt werden konnte.

Dennoch war die konkrete Datenverarbeitung nicht ausreichend abgesichert, weil der Versand der E-Mails von den beiden damit befassten Mitarbeitern mit der versehentlich nicht entfernten, unverschlüsselten Excel-Datei erfolgte, die den Empfängern nicht zu offenbarende personenbezogene Daten Dritter enthielt. Diese Verarbeitung bewirkte einen unbeabsichtigten Datenschutzverstoß, der bereits eine Verletzung des Art. 5 Abs. 1 Buchst. f) DS-GVO darstellt. […]

1. cc) Zudem liegt ein Verstoß gegen Art. 9 Abs. 1 DS-GVO vor. […]

Gesundheitsdaten sind hier die Informationen über die Anzahl der Impfungen und den vorgesehenen Impfstoff. […]

Eine Ausnahme im Sinne von Art. 9 Abs. 2 DS-GVO greift vorliegend nicht ein. Weder lag eine Einwilligung des Klägers im Sinne von Art. 9 Abs. 2 Buchst. a) DS-GVO vor, noch war die Verarbeitung in Gestalt der Übermittlung als Anhang zu der E-Mail für einen der in Art. 9 Abs. 2 Buchst. b) bis j) DS-GVO genannten Zwecke erforderlich.

1. dd) Ob auch ein Verstoß gegen Art. 32 Abs. 1 DS-GVO gegeben ist, den das Landgericht bejaht hat, kann der Senat offen lassen. Ein eventueller Verstoß hätte ein geringes Gewicht und fiele neben den Verstößen gegen Art. 5 Abs. 1 Buchst. a) und f) und 9 Abs. 1 DS-GVO nicht ins Gewicht. […]

Wie bereits ausgeführt, hat die Beklagte Maßnahmen zur Einhaltung der Anforderungen des Datenschutzes bei der Datenverarbeitung in ihrem Impfzentrum getroffen, die grundsätzlich geeignet waren, personenbezogene Daten vor einem unbefugten Zugriff, unrechtmäßiger Verarbeitung und auch unbeabsichtigten Pflichtverletzungen zu schützen. So erfolgte die Verarbeitung durch eine begrenzte Anzahl eingewiesener Mitarbeiter allein auf dienstlichen Computern nach dem beschriebenen Vier-Augen-Prinzip.

Ob es dann letztlich, um den an die Integrität und Vertraulichkeit der zu bearbeitenden Daten gem. Art. 32 DS-GVO zu stellenden Anforderungen zu genügen, noch der Anweisung bedurft hätte, (Excel-)Dateien mit personenbezogenen Daten mit einem Passwortschutz zu versehen, bedarf keiner abschließenden Bewertung. Nähme man einen Verstoß an, fiele er bei dem im vorliegenden Fall zu beurteilenden Datenschutzverstoß nicht erheblich ins Gewicht.

Die in Frage stehende Excel-Datei musste kurzzeitig erstellt werden, um die E-Mail-Adressen der Impfwilligen zu ermitteln, die von den geänderten Öffnungszeiten des Impfzentrums betroffen waren und deswegen informiert werden sollten. […] Dass bei der Erledigung dieser Aufgabe eine Situation entstand, in der es zum versehentlichen Versand der Datei als E-MailAnhang kommen konnte, in dem der streitgegenständliche Datenschutzverstoß liegt, ist nach den auch insoweit glaubhaften Angaben der Beklagten den bei der Bearbeitung auftretenden technischen Schwierigkeiten geschuldet. Diese führten dazu, dass die Excel-Datei mit einem anderen Rechner, als dem Rechner, mit dem sie erstellt worden war, bearbeitet werden musste und deswegen als E-Mail-Anhang zunächst verschickt wurde, um E-Mail und Excel-Datei an einem anderen Rechner bearbeiten zu können. Dass diese nur für einen kurzen Zeitraum benötigte Excel-Datei, die an sich auch nicht als E-MailAnhang benötigt wurde, bei ihrer Erstellung nicht verschlüsselt wurde, ist kein Umstand, der bei dem in Frage stehenden Datenschutzverstoß erheblich ins Gewicht fällt. Maßgeblich ist insoweit, wie bereits ausgeführt, dass sie von den mit dem Versand der E-Mail befassten Mitarbeitern als E-Mail-Anhang übersehen und deswegen vor dem Abschicken der E-Mail nicht entfernt wurde, was insbesondere einen Verstoß gegen Art. 5 Abs. 1 Buchst. a) und f) und 9 Abs. 1 DS-GVO darstellt.

e) Die Beklagte ist nicht gemäß Art. 82 Abs. 3 DS-GVO von der Haftung befreit. […]

Das Verschulden wird nach dem Wortlaut der Norm grundsätzlich vermutet. Um die Feststellung treffen zu können, der Verantwortliche sei „in keinerlei Hinsicht“ verantwortlich, hat der Verantwortliche nachzuweisen, dass er alle Sorgfaltspflichten erfüllt hat und ihm damit nicht die geringste Fahrlässigkeit vorgeworfen werden kann […]. Dies wäre etwa der Fall, wenn von allen mit der Datenverarbeitung befassten Personen alle erforderlichen technischen und organisatorischen Datensicherungsmaßnahmen eingehalten wurden und es dennoch zu einem unbefugten Datenzugriff kommt […].

aa) Diesen Nachweis hat die Beklagte indes nicht zu führen vermocht. Im Hinblick auf die Verstöße gegen Art.  5 Abs. 1 Buchst. a) und f) sowie 9 Abs. 1 DS-GVO liegt ein der Beklagten zuzurechnendes Verschulden ihrer Mitarbeiter vor, die die E-Mail abgesandt haben. Die allgemeinen Grundsätze des § 278 BGB gelten auch hier […]. Die Absendung der E-Mail ohne das vorherige Entfernen der angehängten ExcelDatei ist zumindest als fahrlässig im Sinne von § 276 Abs. 2 BGB einzustufen. […] Für das Verhalten ihrer Mitarbeiter haftet die Beklagte als Verantwortliche, ohne sich entlasten zu können […].

f) Dem Kläger ist auch ein immaterieller Schaden entstanden.

Einen solchen sieht der Kläger insbesondere in dem mit dem Versand der Excel-Datei verbundenen Kontrollverlust seiner in der Datei aufgeführten personenbezogenen Daten und dem späteren Erhalt einer Phishing-E-Mail am 18.08.2021, den er auf diesen Kontrollverlust zurückführt. […]

dd) Der Eintritt eines Schadens setzt auch nicht voraus, dass dem Betroffenen durch den Verstoß gegen die DS-GVO ein spürbarer Nachteil entstanden ist oder es zu einer objektiv nachvollziehbaren Beeinträchtigung von persönlichkeitsbezogenen Belangen mit gewissem Gewicht gekommen ist. Insoweit wird vertreten, dass für einen Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. für eine bloß individuell empfundene Unannehmlichkeit kein Schmerzensgeld zu gewähren sei (LG Essen, Urt. v. 23.09.2021 – 6 O 190/21, juris Rn. 53; AG Diez, Urt. v. 07.11.2018 – 8 C 130/18, juris Rn. 6; Schaffland/Holthaus, in: Schaffland/Wiltfang, DS-GVO/BDSG, Stand: August 2022, Art. 82 DS-GVO Rn. 5 und 11a – hier: eine unwillkommene Mail konnte vom Betroffenen ohne großen Aufwand gelöscht werden). Auch wird vertreten, ein Schadenersatzanspruch bestehe nicht bei bloßen Bagatellschäden, die vorliegen sollen bei der Verbreitung von Name, Geburtsdatum, Geschlecht, E-Mail-Adresse und Telefonnummer einer Person (LG Karlsruhe, Urt. v. 09.02.2021 – 4 O 67/20, juris Rn. 38; Schaffland/Holthaus, in: Schaffland/Wiltfang, DS-GVO/ BDSG, Stand: August 2022, Art. 82 DS-GVO Rn. 14a).

Nach Überzeugung des Senats findet eine derartige Einschränkung des Anspruchs in der DS-GVO keine Grundlage und ist auch aus sonstigen Gründen nicht geboten. Es handelt sich auch hierbei letztlich ebenfalls um eine Erheblichkeitsschwelle, die weder in der DS-GVO noch in der Rechtsprechung des EuGH eine Stütze findet (vgl. Buchner/Wessels, in ZD 2022, 251 (254)).

ee) Ausgehend von dem vorstehend beschriebenen Begriff des immateriellen Schadens ist dem Kläger im vorliegenden Fall ein solcher dadurch entstanden, dass die in der Excel-Datei enthaltenen personenbezogenen Daten des Klägers offenbart wurden und der Kläger die Kontrolle über diese gegenüber Dritten offenbarten Daten verloren hat. Zu Recht macht der Kläger den ihn belastenden Kontrollverlust bezüglich seiner Daten geltend, was als Schaden zu bewerten ist. […]

Soweit der Kläger weiter geltend macht, bei der E-Mail vom 18.08.2021 habe es sich um eine Phishing-Mail gehandelt, mit der weitere Daten des Klägers „abgegriffen“ oder sein PC „gehackt“ hätte werden sollen, begründet dies jedoch keinen weitergehenden Schaden. Es ist schon nicht erkennbar, dass es tatsächlich zu einem weiteren Abfluss von Daten des Klägers gekommen ist oder sein PC tatsächlich gehackt wurde. Auch soweit der Kläger mit seinem Vorbringen offenbar geltend machen will, er könne Gefahren durch „militante Impfgegner“ ausgesetzt sein, zumal die Befürwortung der Corona-Impfung und der vollständige Name des Klägers und seine Anschrift unter anderem auch Kriminellen bekannt geworden seien, vermag dieses rein spekulative Vorbringen nicht die Annahme eines weitergehenden Schadens zu rechtfertigen. […]