Kommt es zu Verstößen gegen die Vorgaben der Datenschutzgrundverordnung, sind die Datenschutzbehörden und damit auch die Sanktionen durch Bußgelder nicht weit. In diesem Zusammenhang wird oftmals vernachlässigt, dass DSGVO-Verstöße auch Ansprüche Betroffener, gerichtet auf immateriellen Schadensersatz aus Art. 82 DSGVO nach sich ziehen können. Tatsächlich machen immer mehr Betroffene ihre Rechte geltend, sodass die deutschen Gerichte sich zunehmend mit immateriellen Schadenersatzansprüchen aus der DSGVO befassen müssen.
Auch das AG Pforzheim musste sich im vergangenen Jahr mit einer solchen Klage auf Schadenersatz auseinandersetzten. In seinem Urteil vom 25.3.2020 (Az. 13 C 160/19) sprach das Gericht dem Betroffenen einen immateriellen Schadensersatzanspruch in Höhe von 4.000 € nach Art. 82 Abs. 1 DSGVO, wegen unrechtmäßiger Weitergabe sensibler Daten zu. Das AG stellte insbesondere fest, dass eine Datenübermittlung an Prozessbevollmächtigte zur Einbringung in gerichtliche Verfahren nicht ohne Weiteres erfolgen darf.
1. Hintergrund
Im streitgegenständlichen Verfahren verklagte der Betroffene einen Psychotherapeuten auf immateriellen Schadensersatz in Höhe von 5.000 €.
Die Frau des Klägers berichtete im Rahmen ihrer Behandlung beim Beklagten über Eheprobleme mit dem Kläger. Unter anderem erzählte sie von dessen Drogen- und Alkoholkonsum sowie von ungewöhnlichen Verhaltensauffälligkeiten. Infolgedessen bat der Beklagte den Betroffenen, sich in der Praxis vorzustellen. Der Betroffene kam der bitte nach, sodass ein Gespräch zwischen den beiden Parteien stattfand.
Sämtliche Informationen die der Beklagte von der Ehefrau sowie vom Kläger selbst im Rahmen des Gesprächs zu dessen Person erhielt sowie die daraus gestellte Diagnose wurden im Praxissystem dokumentiert. Nachdem es zur Trennung des Ehepaares gekommen war, wandte sich der Prozessbevollmächtigte der Ehefrau im Rahmen eines Umgangsverfahrens bezüglich der gemeinsamen Kinder an den Beklagten.
In diesem Zusammenhang übermittelte der Beklagte ein Schreiben an den Bevollmächtigten der Frau, das eine ausführliche Anamnese des Betroffenen samt Diagnose einer narzisstischen Persönlichkeitsstörung enthielt.
Diese Stellungnahme wurde in das Umgangsverfahren eingeführt, wodurch sämtliche am Prozess Beteiligte vom Inhalt des Schreibens Kenntnis erlangten. Infolgedessen, erhob der Betroffene Klage gegen den Therapeuten auf immateriellen Schadensersatz in Höhe von 5.000 € auf Grund unbefugter Übermittlung von Gesundheitsdaten an Dritte.
2. Verstoß gegen die DSGVO
Gesundheitsdaten sind besonders sensible Daten, deren Verarbeitung grundsätzlich nach Art. 9 Abs. 1 DSGVO untersagt ist, es sei denn, es liegt einer der gesetzlichen Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO vor. Dies ist dann der Fall, wenn der Betroffene beispielsweise in die Verarbeitung einwilligt oder diese – zum Beispiel im Rahmen eines medizinischen Behandlungsvertrages – für die Behandlung des Betroffenen als Patienten erforderlich ist.
Im vorliegenden Fall hatte der Betroffene weder eine Einwilligung zur Datenübermittlung an Dritte erteilt, noch lag einer der anderen Erlaubnistatbestände vor.
Die Datenübermittlung an den Prozessbevollmächtigten der Ehefrau diente allein der Einführung in das familienrechtliche Umgangsverfahren.
Obgleich die Beweggründe des Beklagten, aufgrund der psychischen Probleme des Ehemannes seiner Patientin auf den ersten Blick menschlich nachvollziehbar erscheinen, ist dennoch zu berücksichtigen, dass der Betroffene sich nicht in Behandlung des Psychotherapeuten befand und der Prozessbevollmächtigte der Ehefrau einen im Sinne der DSGVO außenstehenden Dritten darstellt.
Eine Datenübermittlung darf jedoch auch an Prozessbevollmächtigte nicht ohne Weiteres erfolgen. Das gilt umso mehr, wenn die Daten in einer den Betroffenen belastenden Weise in einen Prozess eingeführt werden sollen und dies zusätzlich die Offenlegung der Daten gegenüber weiteren Personen zur Folge hat
3. Berechnung der Höhe des Schadensersatzes
Grundsätzlich stellt nicht bereits der jeweilige Verstoß als solcher einen immateriellen Schaden dar. Vielmehr muss vom Betroffenen ein konkret eingetretener Nachteil als Folge des Datenschutzverstoßes vorgetragen werden. Maßgeblich für die Berechnung der Höhe des Schadensersatzanspruchs war im vorliegenden Fall, dass es sich bei den betroffenen Daten um Gesundheitsdaten handelt. Diese sind gem. Art. 9 Abs. 1 DSGVO besonders sensible Daten.
Da die Anmerkungen des Beklagten zur Person des Betroffenen Rückschlüsse auf die Psyche des Betroffenen zulassen und daher geeignet seien das Bild des Betroffenen gegenüber Dritten in negativer Hinsicht zu beeinträchtigen und dessen Selbstbild zu schädigen, ist dem Betroffenen durch die Offenlegung bereits ein konkreter Schaden eingetreten. Darin liege ein erheblicher Eingriff in die höchstpersönliche Sphäre des Betroffenen vor.
Obgleich die Daten nur einem abgrenzbaren Publikum – den Verfahrensbeteiligten und dem unmittelbaren Umfeld des Betroffenen – offengelegt wurden, vermag dies an der Entscheidung des Gerichts nichts zu ändern.
Demgegenüber dürfe nicht vernachlässigt werden, dass die offengelegten Informationen gerade im Rahmen eines familienrechtlichen Umgangsverfahrens als besonders sensibel einzustufen sind, da sie in erheblichem Maße geeignet sind, Einfluss auf die Entscheidung des Gerichts und die Entscheidung der Ehefrau über die Einräumung eines Umgangsrechts des Betroffenen mit den gemeinsamen Kindern zu nehmen.
Unter Abwägung dieser Gesichtspunkte bezifferte das Gericht in diesem Fall den Schadensersatzanspruch des Betroffenen auf 4.000 €. Da die Datenweitergabe in die höchstpersönliche Sphäre des Betroffenen eingriff und der Rechtsverletzung durch die Einführung im Umgangsprozess eine gewisse Außenwirkung zukommt, kann von einer bloßen Bagatelle nicht mehr die Rede sein. Die Höhe sei sowohl ausreichend als auch erforderlich, um die von der DSGVO geforderte Abschreckungswirkung zu erzielen und zugleich die Genugtuungsfunktion, die der Entschädigung des Betroffenen dient, zu gewährleisten.
4. Ausblick
Die bisher ergangenen Entscheidungen zeigen, dass deutsche Gerichte Art. 82 Abs. 1 DSGVO beim Zuspruch immateriellen Schadensersatzes tendenziell restriktiv Anwenden und sich an den bisher bewährten Grundsätzen des Schadensrechts orientieren. Zwar sieht Art. 82 Abs. 1 DSGVO eine Entschädigung des Betroffenen für immaterielle Schäden vor. Eine Verletzung der DSGVO – Vorschriften begründet allerdings nicht automatisch einen Anspruch auf Schadensersatz.
Insoweit muss der Betroffene einen konkreten, in seiner Person unmittelbar aufgetretenen Schaden darlegen. Ein solcher Nachteil ist stets anzunehmen, wenn dem Betroffenen aus der Datenschutzverletzung spürbare Nachteile entstehen und diese objektiv nachvollziehbar persönliche Belange des Betroffenen in erheblichem Maß beeinträchtigen und diese Beeinträchtigung nicht in anderer Weise befriedigend aufgefangen werden kann.
Davon abzugrenzen sind bloße Bagatellverstöße, die lediglich eine individuell empfundene Unannehmlichkeit des Anspruchsstellers darstellen. Sofern dem Betroffenen allerdings die Darlegung einer konkreten Beeinträchtigung gelingt, sind Beträge in Höhe mehrerer tausend Euro durchaus denkbar, wie das Urteil des AG Pforzheim erneut zeigt. Ob es bei einer restriktiven Anwendung des Art. 82 Abs. 1 DSGVO verbleibt, bleibt abzuwarten. Was dieser Fall allerdings wieder einmal bestätigt ist, dass Datenschutz heutzutage nicht nur elementarer Bestandteil der Compliance eines Großunternehmens darstellt, sondern auch vom selbstständigen Kleinunternehmer und Freiberufler ernst genommen werden sollte.
