Gesundheitsdaten sind besonders sensible Daten. Der Datenschutz besitzt daher eine noch größere Bedeutung als ohnehin schon. Umso gravierender ist, wenn Gesundheitsdaten tatsächlich in falsche Hände geraten. Daraus kann sich für Geschädigte ein Anspruch auf Schmerzensgeld ergeben.
Das zeigt ein Urteil des Oberlandesgerichts Düsseldorf (OLG Düsseldorf, Urteil v. 28.10.2021 - Az: 16 U 275/20). Es verurteilte eine Krankenkasse zur Zahlung von 2.000 Euro Schmerzensgeld. Das Urteil zeigt aber auch, dass Entschädigungsforderungen Maß und Mitte bewahren müssen.
Gesundheitsakte an falsche E-Mail-Adresse versandt
Geklagt hatte eine Frau, die Mitglied einer gesetzlichen Krankenkasse ist und eine private Krankentagegeldversicherung abschließen wollte. Der Versicherungsmakler hatte der Frau geraten, von der Krankenkasse die Gesundheitsakte anzufordern, um Gesundheitsfragen beim Antrag für die private Zusatzversicherung korrekt beantworten zu können.
Die Frau nahm daraufhin Kontakt zu ihrer Krankenkasse auf und bat um die Zusendung der Daten an ihre E-Mail-Adresse. Aus nicht ganz geklärten Umständen notierte der Mitarbeiter der Krankenkasse eine falsche E-Mail-Adresse. An diese schickte er anschließend die Daten - unverschlüsselt und nicht pseudonymisiert.
15.000 Euro oder 500 Euro Schmerzensgeld angemessen?
Die Darstellungen zum Vorgeschichte des E-Mail-Versands unterscheiden sich. Die Frau gab an, dass sie zunächst einen postalischen Versand erbeten habe. Dieser sei aber von der Krankenkasse aus Umweltschutzgründen abgelehnt worden. Sie habe erst daraufhin dem Mailversand zugestimmt. Der Kassenmitarbeiter erklärte dagegen, dass die Klägerin den schnellstmöglichen Versand gefordert habe. Deshalb sei der Versand per E-Mail erfolgt.
Die Tatsache der falschen Adressierung wurde von der Krankenkasse nicht bestritten. Sie bot der Frau ein Schmerzensgeld von 500 Euro an. Das war weit entfernt von den Vorstellungen der Klägerin. Sie forderte 15.000 Euro und begründete diese Höhe damit, dass die Datenweitergabe an unbefugte Dritte für sie eine schwer erträgliche seelische Belastung darstelle. Da sich beide Seiten nicht einigen konnten, kam es zum Rechtsstreit.
Datenschutzverstoß, aber kein Organisationsversagen
Das in erster Instanz angerufene Wuppertaler Landgericht hatte der Frau ein Schmerzensgeld von 4.000 Euro zuerkannt. Dagegen legten beide Seiten Berufung ein, so dass sich das Oberlandesgericht Düsseldorf mit dem Fall befassen musste. Die Richter sahen - wie die Vorinstanz - im falsch adressierten Versand einen Verstoß gegen die Datenschutzgrundverordnung (Artikel 6 DSGVO - unrechtmäßige Datenverarbeitung). Anders als die Wuppertaler Richter erkannte das OLG aber kein Organisationsversagen auf Seiten der Krankenkasse.
Die Frau habe dem E-Mail-Versand zugestimmt und eine Verschlüsselung oder Pseudonymisierung sei offenkundig in dem Gespräch mit dem Krankenkassen-Mitarbeiter nicht vereinbart worden. Da der falsche Adressat die E-Mail nachweislich nicht zur Kenntnis genommen habe, habe es auch nicht zu einer unerwünschten Weiterverbreitung oder Veröffentlichung der Daten kommen können. Diesbezügliche Sorgen der Frau seien damit nicht mehr begründet.
Schmerzensgeld um die Hälfte gekürzt
Daher hielt das Gericht ein Schmerzensgeld für 2.000 Euro für angemessen und blieb damit 50 Prozent unter dem Betrag, den das Wuppertaler Gericht festgelegt hatte.
