Immer wieder werden Unternehmen oder Behörden dazu verurteilt, Schmerzensgeld zu zahlen, weil sie die Vorschriften der DSGVO nicht hinreichend umgesetzt oder gegen diese verstoßen haben (wir berichteten z. B. hier und hier). Ende Februar traf es das Bundesverwaltungsamt. Das Verwaltungsgericht Köln (Urteil v. 23.02.2023, Az. 13 K 278/21) verurteilte es zu einer Zahlung von Schmerzensgeld in Höhe von 1.000 Euro. Grund hierfür war das Versenden der Belegkopien des Klägers bezüglich Beihilfezahlungen, die Beamte in Krankheits-, Geburts-, Pflege- und Todesfällen beantragen können, an einen Dritten.
Wenn die Beihilfebelege bei einem Dritten landen …
Der Kläger ist Bundesbeamter. Er beantragte im März 2019 beim Bundesverwaltungsamt Beihilfezahlungen unter Beifügung von 13 Belegkopien. Die Beihilfebelege des Klägers umfassten neun Rechnungen verschiedener Fachärzte unter Auflistung der einzelnen Leistungen und zum Teil unter der Benennung von Diagnosen. Diese waren sowohl körperlicher als auch psychischer Natur. Zudem waren vier Rezepte für Medikamente beigefügt.
Ende März erhielt der Kläger einen Bescheid vom Bundesverwaltungsamt mit der Bewilligung der Beihilfezahlungen. Beigefügt an diesen Bescheid waren aber nicht seine eigenen Belegkopien, sondern die eines Dritten. Aufgrund eines Büroversehens waren die Belegkopien des Klägers an einen Dritten versandt worden. Der Kläger wiederum hatte die Kopien dieses Dritten bekommen. Das Bundesverwaltungsamt forderte umgehend die Belege vom Dritten zurück und sandte sie dem Kläger zu.
Daraufhin machte der Kläger einen Schadensersatzanspruch nach Art. 82 DSGVO in Höhe von 3.000 Euro geltend – zunächst direkt beim Bundesverwaltungsamt. Gestützt hatte der Kläger den Schadensersatzanspruch auf die Verletzung seines Allgemeinen Persönlichkeitsrechts und seines Rechts auf informationelle Selbstbestimmung, da ein Dritter ohne Befugnis Einsicht in seine Gesundheitsdaten hatte.
Als das Bundesverwaltungsamt auf die Forderung des Klägers nicht reagierte, erhob dieser Klage vor dem Amtsgericht Düsseldorf, welches die Sache an das Verwaltungsgericht Köln verwies.
Keine Rechtsgrundlage für den Versand an Dritten
Nach umfassenden Ausführungen zur (Nicht-)Zuständigkeit sprach das Verwaltungsgericht Köln dem Kläger einen Schmerzensgeldanspruch in Höhe von 1.000 Euro zu – ein Drittel des ursprünglich beantragten Schmerzensgeldes. Das Verwaltungsgericht sah einen Verstoß gegen Art. 9 Abs. 1 DSGVO. Danach ist die Verarbeitung von besonderen personenbezogenen Daten, zu denen auch Gesundheitsdaten gehören, untersagt – es sei denn, es greift ein Ausnahmetatbestand aus Art. 9 Abs. 2 DSGVO.
Bei den Beihilfebelegen handle es sich um besonders sensible Gesundheitsdaten im Sinne von Art. 4 Nr. 15 und Art. 9 Abs. 1 DSGVO. Die Versendung dieser Gesundheitsdaten an einen Dritten sei gesetzlich verboten gewesen. Ein Ausnahmegrund, insbesondere eine ausdrückliche Einwilligung des Klägers (Art. 9 Abs. 2 lit. a DSGVO) in den Versand der Belege, habe nicht vorgelegen. Der immaterielle Schaden des Klägers sei darin begründet, dass der Dritte aufgrund des Fehlversands durch das Bundesverwaltungsamt zwangsläufig Einsicht in die empfindlichen Gesundheitsdaten des Klägers gehabt hätte. Diese Offenbarung habe beim Kläger zu einem Verlust an Vertraulichkeit und zu einer Bloßstellung geführt. Hierfür sei die Offenbarung an eine einzelne bestimmte Person schon ausreichend, da auch das immanente Risiko bestünde, dass der Dritte die sensiblen Daten zum Nachteil des Klägers weiterverbreiten könne.
Das Bundesverwaltungsamt habe es auch nicht geschafft zu beweisen, dass es für den Schadenseintritt in keinerlei Hinsicht verantwortlich gewesen ist. Das fahrlässige Büroversehen müsse sich das Amt zurechnen lassen.
Überschreitung der Erheblichkeitsschwelle offensichtlich
Die für den Zuspruch von Schadensersatz- und Schmerzensgeldforderungen erforderliche Erheblichkeitsschwelle bedürfe nach Ansicht des Gerichts auch keiner weiteren Entscheidung. Der immaterielle Schaden des Klägers sei erheblich. Dem Dritten sei durch den Fehlversand Einsicht in Diagnosen sowohl von körperlicher als auch psychischer Natur ermöglicht worden. Das allein begründe einen erheblicheren Schaden.
Das Wissen über die Gesundheitsdaten des Klägers hätte vom Dritten leicht dazu genutzt werden können, den Kläger in seinem beruflichen, gesellschaftlichen oder privaten Umfeld zu diskreditieren – insbesondere in Anbetracht der psychiatrischen Behandlung des Klägers.
Eine Schmerzensgeldzahlung in Höhe von 1.000 Euro hielt das Gericht für angemessen und ausreichend. Der Betrag schaffe einen Ausgleich für den erlittenen immateriellen Schaden des Klägers. Mildernd berücksichtigte das Gericht, dass die Daten aufgrund des Fehlversands nur einer einzelnen Person offengelegt worden sind. Es sei nicht ersichtlich, dass die Gesundheitsdaten darüber hinaus weiteren Personen bekannt gemacht worden sind. Insofern sei davon auszugehen, dass sich das Risiko einer Weiterverbreitung der Daten des Klägers durch den Dritten nicht verwirklicht habe.
Darüber hinaus habe der Kläger auch keine persönlichen Folgen dargelegt, die über den Vertraulichkeitsverlust und die Bloßstellung hinausgehen. Daher seien die Folgen des Verstoßes für den Kläger begrenzt.
Fazit
Das Urteil zeigt erneut auf, wie wichtig es ist, Sorgfalt beim Umgang mit personenbezogenen Daten walten zu lassen. Dies gilt umso mehr, wenn es sich bei den Daten um Gesundheitsdaten oder andere besondere personenbezogene Daten im Sinne des Art. 9 DSGVO handelt. Gerade bei besonderen personenbezogenen Daten ist die Erheblichkeitsschwelle aufgrund der Empfindlichkeit der Daten schnell erreicht. Unternehmen und Behörden sollten daher Beschäftigte, die Daten dieser Art verarbeiten, besonders sorgfältig bezüglich des Datenschutzes sensibilisieren.