In dem Corona-Impfzentrum in Nordrhein-Westfalen mussten aufgrund der geänderten Öffnungszeiten die Termine von 1200 Bürger:innen verschoben werden. E-Mails wurden normalerweise nur unter Wahrung eines Vier-Augen-Prinzips versandt sowie unter Verwendung der Bcc-Funktion. Die Daten der Impfkandidaten und deren Termine wurden in einem von der Kassenärztlichen Vereinigung Nordrhein (KVN) betriebenen Portal vorgehalten, auf das die Mitarbeiter:innen des Impfzentrums mittels Benutzername und Passwort zugreifen konnten.

Da ein Versand von E-Mails aus dem Portal für sie technisch nicht möglich war, musste zunächst eine Excel-Tabelle mit den Daten der betroffenen Personen aus dem Portal exportiert und auf einem Rechner des Impfzentrums gespeichert werden. Die entsprechenden E-Mail-Adressen wurden dann herauskopiert. Doch der erste Versand schlug aus bis heute nicht bekannten Gründen fehl. Beim zweiten Versuch von der dienstlichen E-Mail-Adresse eines Mitarbeiters wurde leider der weitergeleitete Anhang nicht entfernt. Die nicht weiter geschützte Excel-Datei wurde an die 1200 Empfänger:innen versandt. Der Fehler wurde sofort bemerkt und die versandte E-Mail zurückgerufen, was in 500 Fällen erfolgreich war.

Ungeschützte Excel-Tabelle verschickt

Die Excel-Datei enthielt personenbezogene Daten von rund 13.000 Personen, die einen Impf-Termin gebucht hatten: Vor- und Nachname, Anschrift und Geburtsdatum, Angaben zum vorgesehenen Impfstoff sowie zur Frage Erst- oder Zweitimpfung. Sofern von den Personen bei der Terminbuchung angegeben, waren auch Telefonnummer und/oder E-Mail-Adresse hinterlegt.

Der Betreiber des Impfzentrums rief die Empfänger des übersandten Anhangs auf, diese Daten unverzüglich zu löschen und informierte per Pressemitteilung die Öffentlichkeit über den Vorfall. Auch der Aufsichtsbehörde wurde der Vorfall gemeldet.

Dem klagenden Betroffenen reichte die Entschuldigung nicht aus. Im August 2021 verlangte er wegen der „gravierenden Persönlichkeitsrechtsverletzung“ eine Entschädigung in Höhe von 20.000 Euro. Anders als vom Betreiber des Impfzentrums geäußert, bestehe nicht nur ein geringes Risiko für einen möglichen Missbrauch der Daten. So habe er – wie auch andere Betroffene – gezielt eine E-Mail einer angeblichen „Europäischen Zentrale für Verbraucherschutz“ erhalten, die angeblich Möglichkeiten für eine Entschädigung aufzeige. Es habe sich hierbei um eine sogenannte Phishing-Mail gehandelt, mit der weitere Daten des Klägers hätten „abgegriffen“ oder sein PC hätte „gehackt“ werden sollen. Zudem tauchten immer mehr militante Impfgegner auf, die auch vor Gewalttaten nicht zurückschreckten, weshalb er den Vorfall überaus ernst nehme.

Diese Befürchtung fand der beklagte Betreiber dann doch etwas übertrieben. Aus dem Vorfall habe sich keinerlei negative Folgen für den Kläger ergeben, die einen immateriellen Schaden begründen könne. Die behauptete Sorge, plötzlich Opfer von „Phishing-Mails“ zu werden oder ins Fadenkreuz militanter Impfgegner zu geraten, begründe noch keinen Schaden. Und die Mail des ominösen Zentrums sei offensichtlich kein Hacker-Angriff, sondern habe die Empfänger dafür gewinnen wollen, vermeintliche Ansprüche gegen das Impfzentrum abzutreten. Zudem habe der Kläger seinen Impfstatus bei Facebook selbst bekannt gemacht.

100 Euro Entschädigung

In erster Instanz verurteilte das Landgericht Essen den Betreiber des Impfzentrums im Juni 2022 zur Zahlung von 100 Euro nebst Zinsen, wies die Klage aber im Übrigen ab. Das Impfzentrum habe gegen die Datenschutzgrundverordnung (DSGVO) verstoßen. Denn es hätte geeigneter Schutzmaßnahmen jedenfalls gegen die versehentliche Versendung der sensiblen und umfassenden Datensätze bedurft. Der Anspruch des Klägers auf Zahlung seiner vorgerichtlichen Rechtsanwaltskosten scheiterte dagegen an der Aktivlegitimation.

Beide Seiten gingen in Berufung, doch das OLG Hamm bestätigte die Entscheidung der Vorinstanz. Die Verarbeitung der personenbezogenen Daten und ihre Offenlegung gegenüber Dritten war demnach rechtswidrig. Das Gericht ging aber von einem „unbeabsichtigten Datenschutzverstoß“ aus. Der Betreiber des Impfzentrums hafte allerdings für das Verhalten der Mitarbeiter – die sogenannte „Exkulpationsregel“ sei hier nicht anzuwenden.

Dem Kläger ist aus Sicht des OLG auch ein „immaterieller Schaden“ entstanden. Noch nicht höchstrichtlerich geklärt ist zwar, ob eine „Erheblichkeitsschwelle“ überschritten sein muss, ob der bloße Datenverlust an sich oder ein ungutes Gefühl ein ausreichender Schaden ist und sogenannte Bagatellschäden auszuschließen sind. Hier fand das OLG aber, dass der Schaden entstanden ist, weil die in der Excel-Datei enthaltenen personenbezogenen Daten offenbart wurden und der Betroffene die Kontrolle über Daten endgültig verloren hat. Auch im Erhalt der unerwünschten E-Mail sei ein immaterieller Schaden zu sehen. Die Spekulationen über Gefahren durch „militante Impfgegner“ gingen dem OLG dagegen zu weit.

13.000 potenzielle Kläger:innen

Die Entschädigung von 100 Euro befand auch das OLG als angemessen. Aus Sicht des Klägers habe der Betrag zwar keinerlei Abschreckungseffekt, allerdings habe die Datei Daten von insgesamt 13.000 Personen enthalten. Insofern gebe es das Potenzial, das sich aus Ansprüchen vieler Betroffener ein durchaus messbarer finanzieller Schadensbetrag bei der Beklagten einstelle.

Das OLG hat Revision zum Bundesgerichtshof (BGH) zugelassen, da bislang keine höchstrichterliche Klärung der für die Geltendmachung eines Anspruchs auf immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO erfolgt sei.