Schmerzensgeld nach einem Datenschutzvorfall in einem Impfzentrum
AG Essen v. 2.5.2023 - 130 C 135/21
Der Sachverhalt:
Der Kläger hatte sich am 27.6.2021 und am 8.8.2021 gegen das Coronavirus impfen lassen. Am 30.7.2021 gab es im Impfzentrum einen Datenschutzvorfall. Ein Mitarbeiter hatte irrtümlich Excel-Listen mit den personenbezogenen Daten von rund 13.000 geimpften Menschen an eine E-Mail angehängt, die an 700 Bürger und Bürgerinnen der Stadt Essen ging. Auch die Daten des Klägers befanden sich in der angehängten Liste. Die Stadt Essen informierte den Kläger über den Vorfall und teilte ihm u.a. mit, dass die Empfänger aufgefordert worden seien, die Liste zu löschen. Ein Missbrauchsrisiko sei als lediglich gering einzuschätzen.
Am 16.8.2021 erhielt der Kläger eine E-Mail des Beklagten. Dieser erklärte darin, dass der Verein X. Opfer von Datenschutzverletzungen über ihre Rechte aufkläre. Der Kläger sei von der Datenpanne der Stadt Essen seiner Kenntnis nach betroffen. Gleichzeitig erfolgte der Hinweis, dass die Stadt Essen verpflichtet sei, ihm eine finanzielle Entschädigung zu zahlen. Über das LegalTech-Unternehmen Y-GmbH könne er eine Sofortentschädigung erhalten. Gleichzeitig enthielt die E-Mail einen Link, der unmittelbar auf die Internetseite der Y-GmbH führte. Auch auf die Möglichkeit, einen Rechtsanwalt einzuschalten, erfolgte ein Hinweis, aufgrund des hohen Kostenrisikos und der zu erwartenden langen Dauer von Gerichtsverfahren sei jedoch der Weg über Portale mit Sofortentschädigung zu empfehlen.
Daraufhin forderte der Kläger den Beklagten auf, eine Unterlassungserklärung abzugeben und Schadensersatz i.H.v. 5.000 € zu zahlen. Eine Unterlassungserklärung gab der Beklagte ab, Schadensersatzzahlungen lehnte er ab. Der Kläger behauptete, er sei durch die E-Mail des Beklagten in Angst und Schrecken versetzt worden. Insbesondere die Hinweise auf die erforderliche Passwortänderung und die Gefahr des "Hackens" seines Accounts seien für ihn beängstigend gewesen. Durch die Verarbeitung seiner personenbezogenen Daten habe der Kläger einen für ihn in keiner Weise beherrschbaren Kontrollverlust über sensible Informationen erlitten. Er war der Ansicht, dass die E-Mail Werbung für die Y-GmbH darstelle und dass der Beklagte letztendlich aus Gewinnstreben Angst geschürt habe.
Das AG hat der Klage i.H.v. 600 € stattgegeben und sie im Übrigen abgewiesen.
Die Gründe:
Der Kläger hat Anspruch auf Schadensersatz gem. Art. 82 Abs. 1 DSGVO. Danach hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wurde (Art. 82 Abs. 2 DSGVO).
Der Anwendungsbereich der DSGVO war eröffnet, da eine Verarbeitung personenbezogener Daten vorlag. Der Beklagte war Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO, da letztendlich er derjenige war, der dem Kläger die E-Mail gesendet hatte. Die Verarbeitung war auch nicht rechtmäßig i.S.d. Art. 6 DSGVO, da der Kläger unstreitig nicht eingewilligt hatte. Zwar hat sich der Beklagte darauf berufen, aus altruistischen Gründen gehandelt zu haben. Seine E-Mail habe darauf abgezielt, Betrug mit den Daten des Klägers zu verhindern. Allerdings enthielt die E-Mail nicht nur den pauschalen Hinweis auf die Rechte und erforderlichen Maßnahmen, sondern auch auf eine konkrete Firma, bei der der Kläger schnelle Hilfe erlangen könne und die für den Kläger durch Nutzung des beigefügten Links auch schnell erreichbar sei. Insofern lag auf jeden Fall Werbung für die Y-GmbH vor.
Der vom Kläger geltend gemachte immaterielle Schaden war eine kausale Folge des Verstoßes gegen die DSGVO des Beklagten. Soweit dieser die Ursächlichkeit der Angst und des Kontrollverlustes des Klägers in Frage gestellt hatte, konnte dies dahinstehen. Denn es genügt bereits die Mitursächlichkeit, erforderlich ist nicht, dass der Verstoß für den Schaden allein ursächlich geworden ist.
Bei der Bemessung der Schadenshöhe war zu berücksichtigen, dass der Beklagte die E-Mail bewusst, also vorsätzlich an den Kläger geschrieben hatte, und zwar auch in dem Wissen, dass der Kläger unmittelbar zuvor "Opfer" eines gravierenden Datenschutzvorfalls geworden war. Weiter war in den Blick zu nehmen, dass die E-Mail hier zumindest auch zu Werbezwecken erfolgt war. Andererseits war zu berücksichtigen, dass die beim Kläger eingetretenen Schäden (Angst, Schrecken, Kontrollverlust) aufgrund des Datenschutzvorfalls bei der Stadt Essen bereits verursacht und durch die E-Mail des Beklagten nur verstärkt worden waren. Unter Beachtung dieser Erwägungen hielt das Gericht bei einer Gesamtbetrachtung den Betrag von 600 € für angemessen, aber auch ausreichend.
Mehr zum Thema:
Aufsatz:
Sperrwirkung der DSGVO: Kein Rückgriff auf § 1004 Abs. 1 S. 2 BGB (analog) für Unterlassungsansprüche
Patrick Koetsier / Sascha Kremer
Alles auch nachzulesen im Beratermodul Computer und Recht - CR:
Die umfassende Datenbank zum Recht der Informationstechnologie. Inklusive Selbststudium nach § 15 FAO. Wann immer es zeitlich passt: Für Fachanwälte bietet dieses Modul Beiträge zum Selbststudium mit Lernerfolgskontrolle und Fortbildungszertifikat. 4 Wochen gratis nutzen!
Justiz NRW
Der Kläger hatte sich am 27.6.2021 und am 8.8.2021 gegen das Coronavirus impfen lassen. Am 30.7.2021 gab es im Impfzentrum einen Datenschutzvorfall. Ein Mitarbeiter hatte irrtümlich Excel-Listen mit den personenbezogenen Daten von rund 13.000 geimpften Menschen an eine E-Mail angehängt, die an 700 Bürger und Bürgerinnen der Stadt Essen ging. Auch die Daten des Klägers befanden sich in der angehängten Liste. Die Stadt Essen informierte den Kläger über den Vorfall und teilte ihm u.a. mit, dass die Empfänger aufgefordert worden seien, die Liste zu löschen. Ein Missbrauchsrisiko sei als lediglich gering einzuschätzen.
Am 16.8.2021 erhielt der Kläger eine E-Mail des Beklagten. Dieser erklärte darin, dass der Verein X. Opfer von Datenschutzverletzungen über ihre Rechte aufkläre. Der Kläger sei von der Datenpanne der Stadt Essen seiner Kenntnis nach betroffen. Gleichzeitig erfolgte der Hinweis, dass die Stadt Essen verpflichtet sei, ihm eine finanzielle Entschädigung zu zahlen. Über das LegalTech-Unternehmen Y-GmbH könne er eine Sofortentschädigung erhalten. Gleichzeitig enthielt die E-Mail einen Link, der unmittelbar auf die Internetseite der Y-GmbH führte. Auch auf die Möglichkeit, einen Rechtsanwalt einzuschalten, erfolgte ein Hinweis, aufgrund des hohen Kostenrisikos und der zu erwartenden langen Dauer von Gerichtsverfahren sei jedoch der Weg über Portale mit Sofortentschädigung zu empfehlen.
Daraufhin forderte der Kläger den Beklagten auf, eine Unterlassungserklärung abzugeben und Schadensersatz i.H.v. 5.000 € zu zahlen. Eine Unterlassungserklärung gab der Beklagte ab, Schadensersatzzahlungen lehnte er ab. Der Kläger behauptete, er sei durch die E-Mail des Beklagten in Angst und Schrecken versetzt worden. Insbesondere die Hinweise auf die erforderliche Passwortänderung und die Gefahr des "Hackens" seines Accounts seien für ihn beängstigend gewesen. Durch die Verarbeitung seiner personenbezogenen Daten habe der Kläger einen für ihn in keiner Weise beherrschbaren Kontrollverlust über sensible Informationen erlitten. Er war der Ansicht, dass die E-Mail Werbung für die Y-GmbH darstelle und dass der Beklagte letztendlich aus Gewinnstreben Angst geschürt habe.
Das AG hat der Klage i.H.v. 600 € stattgegeben und sie im Übrigen abgewiesen.
Die Gründe:
Der Kläger hat Anspruch auf Schadensersatz gem. Art. 82 Abs. 1 DSGVO. Danach hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht der DSGVO entsprechende Verarbeitung verursacht wurde (Art. 82 Abs. 2 DSGVO).
Der Anwendungsbereich der DSGVO war eröffnet, da eine Verarbeitung personenbezogener Daten vorlag. Der Beklagte war Verantwortlicher i.S.d. Art. 4 Nr. 7 DSGVO, da letztendlich er derjenige war, der dem Kläger die E-Mail gesendet hatte. Die Verarbeitung war auch nicht rechtmäßig i.S.d. Art. 6 DSGVO, da der Kläger unstreitig nicht eingewilligt hatte. Zwar hat sich der Beklagte darauf berufen, aus altruistischen Gründen gehandelt zu haben. Seine E-Mail habe darauf abgezielt, Betrug mit den Daten des Klägers zu verhindern. Allerdings enthielt die E-Mail nicht nur den pauschalen Hinweis auf die Rechte und erforderlichen Maßnahmen, sondern auch auf eine konkrete Firma, bei der der Kläger schnelle Hilfe erlangen könne und die für den Kläger durch Nutzung des beigefügten Links auch schnell erreichbar sei. Insofern lag auf jeden Fall Werbung für die Y-GmbH vor.
Der vom Kläger geltend gemachte immaterielle Schaden war eine kausale Folge des Verstoßes gegen die DSGVO des Beklagten. Soweit dieser die Ursächlichkeit der Angst und des Kontrollverlustes des Klägers in Frage gestellt hatte, konnte dies dahinstehen. Denn es genügt bereits die Mitursächlichkeit, erforderlich ist nicht, dass der Verstoß für den Schaden allein ursächlich geworden ist.
Bei der Bemessung der Schadenshöhe war zu berücksichtigen, dass der Beklagte die E-Mail bewusst, also vorsätzlich an den Kläger geschrieben hatte, und zwar auch in dem Wissen, dass der Kläger unmittelbar zuvor "Opfer" eines gravierenden Datenschutzvorfalls geworden war. Weiter war in den Blick zu nehmen, dass die E-Mail hier zumindest auch zu Werbezwecken erfolgt war. Andererseits war zu berücksichtigen, dass die beim Kläger eingetretenen Schäden (Angst, Schrecken, Kontrollverlust) aufgrund des Datenschutzvorfalls bei der Stadt Essen bereits verursacht und durch die E-Mail des Beklagten nur verstärkt worden waren. Unter Beachtung dieser Erwägungen hielt das Gericht bei einer Gesamtbetrachtung den Betrag von 600 € für angemessen, aber auch ausreichend.
Aufsatz:
Sperrwirkung der DSGVO: Kein Rückgriff auf § 1004 Abs. 1 S. 2 BGB (analog) für Unterlassungsansprüche
Patrick Koetsier / Sascha Kremer
Alles auch nachzulesen im Beratermodul Computer und Recht - CR:
Die umfassende Datenbank zum Recht der Informationstechnologie. Inklusive Selbststudium nach § 15 FAO. Wann immer es zeitlich passt: Für Fachanwälte bietet dieses Modul Beiträge zum Selbststudium mit Lernerfolgskontrolle und Fortbildungszertifikat. 4 Wochen gratis nutzen!