Versehentliche Weiterleitung personenbezogener Daten: 100 Euro Schadensersatz

originally published: 14/02/2023 13:57, updated: 14/02/2023 14:02
Versehentliche Weiterleitung personenbezogener Daten: 100 Euro Schadensersatz
Gesetze
Urteile
Artikel zu passenden Rechtsgebieten

Author’s summary by Rechtsanwalt Dirk Streifler - Partner

Die versehentliche Weiterleitung personenbezogener Daten begründet einen Schadensersatzanspruch iHv. 100 Euro.

Das Oberlandesgericht Hamm (Urt. v. 20.01.2023 - 11 U 88/22) hat einem Kläger 100 Euro Schadensersatz zugesprochen, nachdem seine personenbezogenen Daten versehentlich per Email-Verteiler an 1200 Personen gesendet wurden.

Dirk Streifler – Streifler&Kollegen – Rechtsanwälte Berlin

 

Versehentliche Weiterleitung personenbezogener Daten

Die Beklagte ist Betreiberin eines Impfzentrums. Im Zuge der Änderung der Öffnungszeiten und der damit verbundenen Notwendigkeit die Termine von 1200 Personen zu verschieben, kam es zur nicht beabsichtigten Weiterleitung von personenbezogenen Daten wie Vor- und Nachname, Anschrift, Geburtsdatum und teilweise auch Mobilfunknummer und Emailadresse. Die weitergeleitete Datei enthielt zudem Angaben zum vorgesehenen Impfstoff und zur Frage, ob es sich um die erste oder zweite Impfung handelte.

Nachdem der Fehler intern bekannt wurde, forderte die Beklagte die Empfänger der Daten zur unverzüglichen Löschung auf und meldete den Vorfall der zuständigen Aufsichtsbehörde. Der Kläger wurde kurze Zeit darauf über den Vorfall schriftlich aufgeklärt. Die Beklagte entschuldigte sich und teilte den Kläger mit, dass die Einschätzung des Datenschutzes, ein geringes Risiko für einen möglichen Datenmissbrauch ergibt.

Betroffener verlangt 20 000 Euro Schadensersatz

Der Kläger forderte zunächst eine Entschädigung in Höhe von 20 000 Euro wegen Datenschutzverstoßes und der daraus folgenden - seiner Ansicht nach gravierenden - Verletzung seines Persönlichkeitsrechts.

Nach Ansicht des Klägers bestehe nicht ein „lediglich geringes Risiko“ für einen Datenmissbrauch. So behauptet er nach der Weiterleitung eine Phishing-Mail erhalten zu haben, mithilfe derer weitere Daten von ihm abgegriffen werden sollten.

Der geforderte Betrag sei zudem insbesondere in Hinblick auf die zunehmende Gewaltbereitschaft militanter Impfgegner und die Tatsache, dass sein vollständiger Name und Anschrift „Kriminellen bekannt geworden“ sind, aus seiner Sicht gerechtfertigt.

Schadensersatzanspruch aus rechtswidriger Verarbeitung personenbezogener Daten gem. Art. 82 DGSVO und gem. § 839 BGB iVm. Art. 34 GG

Das 1. Zivilkammer des Landgericht Essen verurteilte die Beklagte wegen Verstoßes gegen die DSGVO und der daraus folgenden Verletzung seines Rechts auf informationelle Selbstbestimmung als Teil des Persönlichkeitsrechts zur Zahlung eines Schadensersatzes in Höhe von 100 Euro.

Das OLG Hamm hat die entsprechenden Berufungen des Klägers und der Beklagten gegen das Urteil zurückgewiesen. Der Kläger hat demnach lediglich einen Anspruch in Höhe der vom Landgericht  zugesprochenen Summe, mithin 100 Euro.

Erheblichkeit des eingetretenen Schadens keine Voraussetzung für Vorliegen eines Ersatzanspruchs

Hinsichtlich des Vorliegens eines immateriellen Schadens (einem europarechtlichen, mithin autonom auszulegenden Begriff) fordert Erwägungsgrund 146 S. 3 eine weite Auslegung, so das bereits das ungute Gefühl der Ungewissheit, ob personenbezogene Daten unbefugten bekannt geworden sind für die Annahme eines immateriellen Schadens ausreichend ist. Die Entstehung eines spürbaren Nachteils infolge eines Verstoßes gegen die DSGVO ist – anders als teilweise vertreten - keine Voraussetzung für die Begründung eines entsprechenden Schadensersatzanspruchs.

So liegt nach Ansicht des Gerichts beim Kläger unzweifelhaft ein Kontrollverlust seiner personenbezogenen Daten, infolge der Offenbarung dieser gegenüber Dritten, vor, der einen auszugleichenden immateriellen Schaden begründet, unabhängig davon wie geringfügig die Beeinträchtigung war.

Die Bemessung des Schadens richtet sich nach § 287 ZPO, wobei der Erwägungsgrund 146 S. 3 und 6 zur Verordnung (EU) 2016/679 (Datenschutzgrundverordnung, kurz: DSGVO) berücksichtigt werden muss. Danach besteht die Verpflichtung zur Auslegung des Schadensbegriffs in einer Art und Weise, die den Zielen der Verordnung in vollen Umfang entspricht.

Weitergeleitete Daten betreffen Sozial- und Privatsphäre

Bei der Bemessung des Schadens berücksichtigte das Gericht, dass die weitergeleiteten Daten problemlos die Identifizierung des Klägers ermöglichen und, dass es sich bei diesen sowohl um personenbezogene Daten iSv. Art. 4 Nr. 1 DGSVO als auch um – als besonders sensibel geltende, vgl. Art. 9 DGSVO - Gesundheitsdaten iSv. Art. 4 Nr. 15 DGSVO handelte. So sind erstere der Sozialsphäre zuzuordnen, die insbesondere den Bereich umfasst, in dem die Menschen mit anderen sozial agieren, insbesondere in politischer, beruflicher und ehrenamtlicher Hinsicht. Hier erfolgt die Entfaltung der Persönlichkeit von vornherein im Kontakt mit der Umwelt. Dagegen unterfallen die weitergeleiteten Gesundheitsdaten zwar der Privatsphäre des Klägers. Sie lassen jedoch weder auf eine bestimmte Erkrankung noch Disposition schließen, sondern geben lediglich Information über den Impfstatus des Klägers und sind daher weniger schwerwiegend als bei der Offenbarung spezifischer Gesundheitsdaten.

Weiterhin berücksichtigte das Gericht, dass diese Daten an insgesamt 1200 Personen gesendet worden sind, mithin einer Vielzahl von Personen. Der Beklagten sei jedoch positiv entgegenzuhalten, dass aufgrund eines von ihr, unverzüglich nach der Versendung durchgeführten Rückrufs, nur 700 von 1200 Personen diese Daten tatsächlich zur Kenntnis nehmen konnten und dass die Weiterleitung nicht vorsätzlich erfolgte.

Revision zum Bundesgerichtshof zugelassen

Das Gericht weist darauf hin, dass noch Rechtsfragen zur Auslegung des Art. 82 DGSVO offen sind, die der Klärung durch den Europäischen Gerichtshof (EuGH) bedürfen. Insbesondere, die Frage, ob für die Beklagte die Möglichkeit einer Exkulpation wie sie der § 831 Abs. 1 S. 2 BGB vorsieht, besteht, ist noch ungeklärt. Schließlich entschieden sich die Richter gegen die Klärung dieser Fragen im Wege des Vorabentscheidungsverfahrens nach Art. 267 AEUV und für die Zulassung der Revision zum Bundesgerichtshof (BGH).

Haben Sie noch Fragen zum Thema Datenschutz, Datenschutzverstoß oder immaterieller Schadensersatz? Dann nehmen Sie Kontakt zu Streifler&Kollegen auf und lassen Sie sich fachkundig beraten.

Show what you know!
4 Gesetze

{{count_recursive}} Gesetze werden in diesem Text zitiert

(1) Ist unter den Parteien streitig, ob ein Schaden entstanden sei und wie hoch sich der Schaden oder ein zu ersetzendes Interesse belaufe, so entscheidet hierüber das Gericht unter Würdigung aller Umstände nach freier Überzeugung. Ob und inwieweit e

(1) Verletzt ein Beamter vorsätzlich oder fahrlässig die ihm einem Dritten gegenüber obliegende Amtspflicht, so hat er dem Dritten den daraus entstehenden Schaden zu ersetzen. Fällt dem Beamten nur Fahrlässigkeit zur Last, so kann er nur dann in Ansp

Verletzt jemand in Ausübung eines ihm anvertrauten öffentlichen Amtes die ihm einem Dritten gegenüber obliegende Amtspflicht, so trifft die Verantwortlichkeit grundsätzlich den Staat oder die Körperschaft, in deren Dienst er steht. Bei Vorsatz oder g

(1) Wer einen anderen zu einer Verrichtung bestellt, ist zum Ersatz des Schadens verpflichtet, den der andere in Ausführung der Verrichtung einem Dritten widerrechtlich zufügt. Die Ersatzpflicht tritt nicht ein, wenn der Geschäftsherr bei der Auswahl
1 Urteile
{{count_recursive}} Urteile zitieren order werden zitiert von diesem Artikel

{{count_recursive}} Urteile werden in dem Artikel zitiert
published on 14/02/2023 14:15

Das Ansicht des Oberlandesgericht Hamm (OLG Hamm) begründet die versehentliche Weiterleitung personenbezogener Daten einen Schadensersatzanspruch gegen die:den Verantwortliche:n. Die im vorliegenden Fall verantwortliche Impfzentruminhaberin muss
22 Artikel zu passenden Rechtsgebieten

moreResultsText

21/11/2024 16:22

Erfahren Sie mehr über die rechtlichen Anforderungen an digitale Zahlungsmethoden und die Gründe, warum Paysafecard eine besonders sichere und datenschutzfreundliche Wahl ist.
17/12/2023 13:58

Am 7. Dezember 2023 hat der Europäische Gerichtshof (EuGH) entschieden, dass -Scores nicht mehr alleinige Grundlage für Kreditentscheidungen sein dürfen. Dieses bahnbrechende Urteil hat erhebliche Auswirkungen auf die Kreditwirtschaft und den Verbraucherschutz in Deutschland.  Streifler&Kollegen - Rechtsanwälte Berlin 
06/12/2023 14:23

Der Europäische Gerichtshof entschied, dass Geldbußen nach der Datenschutz-Grundverordnung (DSGVO) nur bei schuldhaftem Verstoß gegen die Verordnung verhängt werden können, sei es vorsätzlich oder fahrlässig. Die Schuldhaftigkeit gilt auch für juristische Personen, und die Höhe der Geldbuße für Unternehmen richtet sich nach dem weltweiten Jahresumsatz. Die Entscheidung schafft Klarheit in Bezug auf die Verantwortlichkeit, gemeinsame Verantwortlichkeit und die Berechnung von Geldbußen im Rahmen der DSGVO. Dirk Streifler – Streifler&Kollegen – Rechtsanwälte Berlin
26/11/2023 15:59

Der vorliegende Fachartikel thematisiert die Verbindung von Datenschutz und Patientenrechten im Lichte eines EuGH-Urteils (C-307/22). Im Fokus stehen das Recht der Patienten auf kostenlose Kopien ihrer Patientenakten und die Auslegung der DSGVO. Der Artikel beleuchtet zudem rechtliche Aspekte, wie die Frage der Kostenfreiheit bei der Einsichtnahme in die Patientenakte gemäß §§ 630f, 630g BGB. Die Entscheidung des EuGH wird als Meilenstein für die Datenschutzpraxis im Gesundheitssektor betrachtet, da sie einen Ausgleich zwischen Patientenrechten und den Interessen der Behandelnden herstellt und die Bedeutung von Datenschutz und Transparenz im Gesundheitswesen betont. Dirk Streifler – Streifler&Kollegen – Rechtsanwälte Berlin
Artikel zu Datenschutzrecht
23/02/2023 12:57

Tausende Facebook-Nutzer haben infolge des Facebook-Datenlecks im Jahr 2021 Anspruch auf immateriellen Schadensersatz in Höhe von 500-3000 Euro. Das soziale Netzwerk muss sich wegen mehrerer Verstöße gegen die Datenschutzgrundverordnung, unter anderen wegen unzureichender Sicherheitsvorkehrungen (Art. 32 DSGVO), verantworten. Dirk Streifler (Rechtsanwalt)
18/01/2023 13:08

Schmerzen, die Angehörige beim Tod oder Verletzung einer geliebten Person erleiden stellen eine Gesundheitsbeeinträchtigung dar, wenn sie medizinisch fassbar sind. Das für einen Schmerzensgeldanspruch in der Vergngenheit erforderliche Vorliegen eines über das "gewöhnliche" Maß hinausgehenden Leids wird nicht mehr gefordert.
21/03/2023 16:18

Die Luxemburger Richter mussten in einem Mercedes-Fall darüber entschieden, ob die europäischen Vorgaben für Autobauer auch darauf zielen Individualinteressen zu schützen.  Der Europäischen Gerichtshofes (EuGH) bejahte diese Frage und meint, dass Autohersteller auch dann haftbar sind, wenn sie ohne Betrugsabsicht gehandelt haben. Dirk Streifler – Streifler&Kollegen – Rechtsanwälte Berlin  
Artikel zu Schadensersatzrecht & Deliktsrecht
17/07/2024 14:33

In der heutigen globalisierten Welt gewinnt die Diskussion über die Grenzen nationaler und unionaler Sanktionsmöglichkeiten zunehmend an Bedeutung. Insbesondere der Schutz des verfassungsrechtlich garantierten Eigentums steht dabei im Fokus. Dieser Artikel beleuchtet die Herausforderungen und Spannungsfelder zwischen strafprozessualen Notwendigkeiten und der Unschuldsvermutung, insbesondere bei eigentumsrelevanten Beschlagnahmen und Vermögensarresten. Dabei werden auch über- und zwischenstaatliche Aspekte im Kompetenzbereich der EU betrachtet.
17/07/2024 13:58

Dieser Artikel richtet sich an Strafverteidiger, Rechtsanwälte, und juristisch Interessierte, die sich mit der komplexen Schnittstelle zwischen internationalen Sanktionen und nationalem Strafrecht befassen. Insbesondere wird ein Fall beleuchtet, bei dem ein russischer Staatsbürger aufgrund von Mietzahlungen für Immobilien, die im formalen Miteigentum seiner geschiedenen Frau stehen, strafrechtlich verfolgt wird. Der Artikel untersucht die strafrechtlichen und verfassungsrechtlichen Implikationen sowie die Zuständigkeitsfragen, die sich in solchen Fällen ergeben.
17/12/2023 13:58

Am 7. Dezember 2023 hat der Europäische Gerichtshof (EuGH) entschieden, dass -Scores nicht mehr alleinige Grundlage für Kreditentscheidungen sein dürfen. Dieses bahnbrechende Urteil hat erhebliche Auswirkungen auf die Kreditwirtschaft und den Verbraucherschutz in Deutschland.  Streifler&Kollegen - Rechtsanwälte Berlin 
26/11/2023 15:59

Der vorliegende Fachartikel thematisiert die Verbindung von Datenschutz und Patientenrechten im Lichte eines EuGH-Urteils (C-307/22). Im Fokus stehen das Recht der Patienten auf kostenlose Kopien ihrer Patientenakten und die Auslegung der DSGVO. Der Artikel beleuchtet zudem rechtliche Aspekte, wie die Frage der Kostenfreiheit bei der Einsichtnahme in die Patientenakte gemäß §§ 630f, 630g BGB. Die Entscheidung des EuGH wird als Meilenstein für die Datenschutzpraxis im Gesundheitssektor betrachtet, da sie einen Ausgleich zwischen Patientenrechten und den Interessen der Behandelnden herstellt und die Bedeutung von Datenschutz und Transparenz im Gesundheitswesen betont. Dirk Streifler – Streifler&Kollegen – Rechtsanwälte Berlin
Artikel zu Europarecht

Annotations

(1) Verletzt ein Beamter vorsätzlich oder fahrlässig die ihm einem Dritten gegenüber obliegende Amtspflicht, so hat er dem Dritten den daraus entstehenden Schaden zu ersetzen. Fällt dem Beamten nur Fahrlässigkeit zur Last, so kann er nur dann in Anspruch genommen werden, wenn der Verletzte nicht auf andere Weise Ersatz zu erlangen vermag.

(2) Verletzt ein Beamter bei dem Urteil in einer Rechtssache seine Amtspflicht, so ist er für den daraus entstehenden Schaden nur dann verantwortlich, wenn die Pflichtverletzung in einer Straftat besteht. Auf eine pflichtwidrige Verweigerung oder Verzögerung der Ausübung des Amts findet diese Vorschrift keine Anwendung.

(3) Die Ersatzpflicht tritt nicht ein, wenn der Verletzte vorsätzlich oder fahrlässig unterlassen hat, den Schaden durch Gebrauch eines Rechtsmittels abzuwenden.

Verletzt jemand in Ausübung eines ihm anvertrauten öffentlichen Amtes die ihm einem Dritten gegenüber obliegende Amtspflicht, so trifft die Verantwortlichkeit grundsätzlich den Staat oder die Körperschaft, in deren Dienst er steht. Bei Vorsatz oder grober Fahrlässigkeit bleibt der Rückgriff vorbehalten. Für den Anspruch auf Schadensersatz und für den Rückgriff darf der ordentliche Rechtsweg nicht ausgeschlossen werden.

(1) Ist unter den Parteien streitig, ob ein Schaden entstanden sei und wie hoch sich der Schaden oder ein zu ersetzendes Interesse belaufe, so entscheidet hierüber das Gericht unter Würdigung aller Umstände nach freier Überzeugung. Ob und inwieweit eine beantragte Beweisaufnahme oder von Amts wegen die Begutachtung durch Sachverständige anzuordnen sei, bleibt dem Ermessen des Gerichts überlassen. Das Gericht kann den Beweisführer über den Schaden oder das Interesse vernehmen; die Vorschriften des § 452 Abs. 1 Satz 1, Abs. 2 bis 4 gelten entsprechend.

(2) Die Vorschriften des Absatzes 1 Satz 1, 2 sind bei vermögensrechtlichen Streitigkeiten auch in anderen Fällen entsprechend anzuwenden, soweit unter den Parteien die Höhe einer Forderung streitig ist und die vollständige Aufklärung aller hierfür maßgebenden Umstände mit Schwierigkeiten verbunden ist, die zu der Bedeutung des streitigen Teiles der Forderung in keinem Verhältnis stehen.

(1) Wer einen anderen zu einer Verrichtung bestellt, ist zum Ersatz des Schadens verpflichtet, den der andere in Ausführung der Verrichtung einem Dritten widerrechtlich zufügt. Die Ersatzpflicht tritt nicht ein, wenn der Geschäftsherr bei der Auswahl der bestellten Person und, sofern er Vorrichtungen oder Gerätschaften zu beschaffen oder die Ausführung der Verrichtung zu leiten hat, bei der Beschaffung oder der Leitung die im Verkehr erforderliche Sorgfalt beobachtet oder wenn der Schaden auch bei Anwendung dieser Sorgfalt entstanden sein würde.

(2) Die gleiche Verantwortlichkeit trifft denjenigen, welcher für den Geschäftsherrn die Besorgung eines der im Absatz 1 Satz 2 bezeichneten Geschäfte durch Vertrag übernimmt.