Das OLG Düsseldorf hat in einer Entscheidung vom 28.10.2021 – 16 U 275/20 – eine Krankenkasse zur Zahlung eines Schmerzensgeldes verurteilt, die in Absprache mit ihrer Versicherten deren Krankenakte per E-Mail verschickte, versehentlich aber an ein falsches E-Mail-Postfach.
Das ist ein Fehler, der bekanntlich schnell passieren kann, auch in einer Zahnarztpraxis. Eine Besonderheit des Falles lag darin, dass das (falsche) E-Mail-Postfach inaktiv war und zehn Monate später gelöscht wurde, ohne dass die Krankenakte zuvor abgerufen worden war. Unbefugten Dritten bekannt wurden die Daten damit nicht. Die Versicherte stellte sich ein Schmerzensgeld von 15.000 € vor, das OLG sprach ihr 2.000 € zu. Es stützt sich dabei auf Art. 82 Abs. 1 DSGVO, der folgendes bestimmt: „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“
Datenschutzverletzung?
Die rechtlich umstrittene Frage, ob die DSGVO auf die Krankenkasse direkt anwendbar ist, lässt das OLG unter Verweis auf § 35 Abs. 2 Satz 2 SGB I dahingestellt. Jedenfalls gelte sie über diese Bundesnorm auch für die Krankenkasse (Rz. 39). Das OLG sieht als datenschutzrechtlich relevanten Verstoß nur die Versendung an die falsche E-Mail-Adresse (Rz. 42), nicht aber den Verzicht auf Verschlüsselung und Pseudonymisierung. Die Versicherte habe um die Zusendung ihrer Krankenakte per E-Mail gebeten, nicht aber um zusätzliche Verschlüsselung oder Pseudonymisierung, obwohl ihr bewusst gewesen sein müsse, dass die Krankenakte ohne eine solche Bitte unverschlüsselt und nicht pseudonymisiert verschickt werde. Darin liege eine Einwilligung nach Art. 6 Abs. 1 Satz 1 Buchstabe a DSGVO (Rz. 45). Der Krankenkasse sei auch kein unangemessenes Datenschutzniveau zu unterstellen. Eine einzelne versehentliche Versendung einer Krankenakte an einen falschen Empfänger lasse nicht auf ein nach Art. 32 DSGVO nicht ausreichendes Datenschutzniveau schließen (Rz. 44).
Diese Fälle können in einer Praxis genauso passieren. Deshalb sind die Überlegungen des OLG zur Schadensbemessung von besonderer Bedeutung: „Von besonderer Bedeutung für die Bestimmung des angemessenen Schadensersatzbetrags ist die Natur der vom Datenschutzverstoß betroffenen Daten der Klägerin. Es handele sich dabei nicht nur um Gesundheitsdaten, die bereits für sich genommen von besonderer Sensibilität sind …. Die betroffenen Gesundheitsdaten waren auch besonders umfangreich. Sie betrafen – auf rund 100 Seiten – sämtliche bei der Beklagten erfassten ärztlichen und sonstigen medizinischen Behandlungen, Therapien und Medikationen der Klägerin aus dem Zeitraum vom 01.01.2015 bis zum 14.12.2018 einschließlich der zugehörigen Diagnosen, Leistungszeiträume und Krankschreibungen. In dem Zeitraum hat die Klägerin, eine junge, noch nicht lange berufstätige Frau, wegen unterschiedlichster Beschwerden vielfach ärztliche Hilfe in Anspruch genommen, auch im gynäkologischen Bereich. In der Gesundheitsakte waren gleich mehrere gynäkologische Befundangaben verzeichnet, die u.a. Rückschlüsse „auf das Sexualleben … der Klägerin zuließen, deren Name und Wohnanschrift in der Akte angegeben waren.“ (Rz. 58).
Hinsichtlich der Daten habe „ein zehnmonatiger Kontrollverlust“ bestanden (Rz. 59). Der Datenschutzverstoß sei für die Versicherte – auch dies ist für die Bemessung des Schadensersatzes von wesentlicher Bedeutung – nicht ohne psychische Folgen geblieben. Sie habe geschildert, wie sie die Ungewissheit über den Verbleib der Daten seelisch belastet habe. Dabei sei die Belastung in den ersten Tagen nach dem 14.12.2018 besonders hoch gewesen, als das Schicksal der Gesundheitsakte noch weitestgehend unklar war. Die Reaktion der Beklagten auf das Anliegen der Klägerin sei am 17.12.2018 und auch darüber hinaus zunächst schleppend gewesen, erst mit Schreiben vom 09.01.2019 habe sie den bis dahin ermittelten Sachstand geordnet mitgeteilt. Immerhin habe sich die Versicherte mit Erhalt dieses Schreibens schwache Hoffnungen machen können, dass der Inhalt ihrer Gesundheitsakte vielleicht doch nicht von unbefugten Dritten zur Kenntnis genommen werden würde (Rz. 64). Schmerzensgeldbemessend sei auch das lediglich fahrlässige Verhalten des Krankenkassenmitarbeiters zu würdigen (Rz. 65) und insbesondere, dass es bei einem zeitweisen Kontrollverlust über die Gesundheitsdaten geblieben ist.
Wenn die Daten nicht unentdeckt geblieben wären, wäre das Schmerzensgeld höher ausgefallen. Das Urteil ist Anlass, das Gespür für die Sensibilität von Patientendaten nicht schleifen zu lassen. Die Verfahren wegen Verstößen gegen die DSGVO werden zunehmen.