Das OLG Düsseldorf hat einer Versicherten wegen einer falsch versandten E-Mail ein Schmerzensgeld in Höhe von 2.000 € zugesprochen (OLG Düsseldorf, Urteil vom 28.10.2021 – 16 U 275/20). Interessant ist aber auch, dass das Gericht feststellte, dass man durchaus E-Mails unverschlüsselt versenden kann, wenn die betroffene Person einwilligt.
Versand von Gesundheitsakte musste schnell gehen und ging schnell schief
Eine Krankenversicherte rief bei ihrer Krankenversicherung an bat um den Inhalt ihrer Gesundheitsakte der letzten drei Jahre. Da sie die Unterlagen sehr schnell noch vor Weihnachten benötigte und daher ein Postversand nicht infrage kam, bat sie um Übersendung des Inhalts an ihre E-Mail-Adresse. Der Sachbearbeiter notierte sich ihre E-Mail-Adresse, vertippte sich aber bei dem E-Mail-Versand bei der Adresseingabe, sodass er die Gesundheitsakte an eine falsche E-Mail-Adresse sendete. Dieser Fehler wurde erst bemerkt, nachdem die Krankenversicherte Tage später nochmals anrief und sich nach dem Verbleib der Gesundheitsakte erkundigte.
Schmerzensgeld wegen fehlerhaftem E-Mail-Versand?
Vor Gericht forderte die Krankenversicherte 15.000 € Schmerzensgeld wegen des in dem fehlerhaften E-Mail-Versand liegenden Datenschutzverstoßes. Die Vorinstanz kam noch zu dem Schluss, dass die Krankenversicherung keine geeigneten technischen und organisatorischen Maßnahmen getroffen habe, um einen unverschlüsselten Versand von Gesundheitsdaten zu verhindern.
Dagegen wehrte sich die Krankenversicherung vor dem OLG Düsseldorf und wies darauf hin, dass sie durch unternehmensinterne Richtlinien ein angemessenes Datenschutzniveau gesichert habe. So würden die Mitarbeitenden in Sicherheits- und Kontrollvorschriften geschult, wozu auch der Sachbearbeiter gehörte. Ein einmaliges Fehlverhalten eines Mitarbeiters stelle keinen Verstoß gegen die Pflicht zur Sicherung eines angemessenen Datenschutzniveaus dar.
Keine Einwilligung in den Falschversand…
Das OLG Düsseldorf sah zunächst in dem Versand der E-Mail mit der Gesundheitsakte der Versicherten an die falsche E-Mail-Adresse einen Verstoß gegen die DSGVO, da die Rechtsgrundlage für den Versand fehlt. Weder sei eine Einwilligung in die Übersendung an diese fremde E-Mail-Adresse erkennbar, noch liegen andere Rechtmäßigkeitsvoraussetzungen vor.
…, aber Einwilligung in den unverschlüsselten Versand
Ein Verstoß gegen Art. 32 DSGVO wegen eines nicht ausreichenden Datenschutzniveaus sah das Gericht dagegen nicht als gegeben an. Das Fehlverhalten eines einzelnen Mitarbeitenden ließe diesen Rückschluss nicht zu.
Im Gespräch zwischen der Versicherten und dem Sachbearbeiter ging es ausschließlich um die Frage der Übersendung der Gesundheitsakte per E-Mail. Verschlüsselung oder Pseudonymisierung war nicht Gegenstand des Gesprächs. Daher musste der Versicherten klar sein, dass die Übermittlung weder verschlüsselt noch pseudonymisiert erfolgen würde. Entsprechende Wünsche hatte sie nicht geäußert. Das Gericht sah daher eine Einwilligung in die unverschlüsselte Versendung der Gesundheitsakte. Die Versicherte hätte nicht unter Zwang gehandelt, als sie um den E-Mail-Versand bat. Der Sachbearbeiter hatte auf die Möglichkeit des Postversands hingewiesen. Allerdings wäre die Gesundheitsakte für die Versicherte dann zu spät angekommen.
Ausdrücklich weist das Gericht darauf hin, dass durch Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO ein Verzicht auf Anonymisierungs-, Pseudonymisierungs- sowie Verschlüsselungstechniken möglich ist.
So bleibt als Datenschutzverstoß die Tatsache des Falschversands. Da die Versicherte hier die Kontrolle über die Daten verloren hatte und es sich auch um einen bedeutenden Umfang und vor allem um Gesundheitsdaten handelte, bejahte das Gericht einen Schmerzensgeldanspruch in Höhe von 2.000 €.
Fazit
Die Aufsichtsbehörde in Österreich hat in 2019 den Standpunkt vertreten, dass eine Einwilligung in den unverschlüsselten Versand von Patientendaten unwirksam ist. Eine Einwilligung im Sinne des Art. 6 Abs. 1 lit. a bzw. Art. 9 Abs. 2 lit. a DSGVO sei schon deshalb nicht statthaft, weil die Einwilligung hier nicht dazu diene, eine Rechtsgrundlage für die Datenverarbeitung zu schaffen, sondern um von – gegebenenfalls erforderlichen – Datensicherheitsmaßnahmen zum Nachteil von Betroffenen abweichen zu können. Der Unterschied zu dem hier dargelegten Fall ist, dass in dem Fall aus Österreich keine echte Wahlmöglichkeit bestand. Hier gab es die Möglichkeit zwischen dem elektronischen und dem postalischen Versand. Daher ist nach dem OLG Düsseldorf eine Einwilligung in einen unverschlüsselten Versand von E-Mails möglich, wenn es Alternativen gibt.
23. Februar 2022 @ 14:22
Positiv ist die erneute Klarstellung, dass die Einwilligung in unverschlüsselten Versand daran geknüpft ist Alternativen anzubieten.
Unschön ist, dass an den Gerichten die von den Datenschutz-Behörden eingeführte Unterscheidung von „unverschlüsselt“ in opportunistisches/obligatorisches/qualifiziertes TLS scheinbar noch gar nicht angekommen ist.
Für das Risiko für die Versicherte macht es einen erheblichen Unterschied, ob mit einer opportunistischen TLS-Verschlüsselung gearbeitet wird, die leicht auszuhebeln ist und in der Praxis regelmäßig zu komplett unverschlüsselter Übertragung (ohne TLS) führt, oder ob mit Mindest-Sicherheitsstandards gearbeitet wird, die z.B. im Rahmen einer qualifizierten Transportverschlüsselung eine starke Server-zu-Server-Verifikation beinhalten.
17. Februar 2022 @ 18:38
Schon mal was von Richtlinie 217f SGB V gehört wegen sozialdatenschutz aber mit Einwilligung soll es gehen ? Aha