Art 82 Abs 1, 2 EU-DSGVO ist kein höchstpersönlicher Anspruch.
Germany. OLG Hamm. Nach einem Datenschutzverstoß in einem Impfzentrum machten 532 betroffenen Personen Schadenersatzansprüche geltend. Gefordert wurden je mindestens 800 Euro für den Ersatz von immateriellen Schäden. Kläger war eine Gesellschaft, die sich diese Ansprüche von den betroffenen Personen hat abtreten lassen.
Das Impfzentrum hatte versehentlich ein E-Mail mit Anhängen an rund 1.200 Empfänger versandt. Diese Anhänge enthielten personenbezogene Daten von etwa 13.000 Personen. Darunter Vor- und Nachname, Anschrift, Geburtsdatum, Telefonnummer, Impfstoff, sowie Informationen zur Erst- oder Zweitimpfung.
Zunächst wurde die Abtretbarkeit der Ansprüche infrage gestellt; der Schadenersatzanspruch nach Art 82 EU-DSGVO sei höchstpersönlich. Das beklagte Impfzentrum argumentierte ferner, dass es angemessene technische und organisatorische Maßnahmen ergriffen habe und der Versand des E-Mails auf menschliches Versagen eines Mitarbeiters zurückzuführen sei. Es liege damit kein vorwerfbares Verhalten vor.
Zur Abtretbarkeit des Schadenersatzanspruchs:
- Art 82 Abs 1, 2 EU-DSGVO ist kein höchstpersönlicher Anspruch.
- Betroffene Personen können ihre Ansprüche aus Art 82 Abs 1, 2 EU-DSGVO wirksam abtreten.
Zum Schadensbegriff:
- Jeder Datenschutzverstoß ist geeignet, einen Schadenersatzanspruch zu begründen.
- Als Verstoß gegen die EU-DSGVO kommen materielle und formelle Verstöße in Betracht.
- Ein immaterieller Schaden kann sowohl auf objektiven als auch auf persönlich empfundenen bzw psychologischen Beeinträchtigungen beruhen.
- Mit der wiederholten Verwendung des Wortes „kann“ hat der EuGH in C-741/21 deutlich gemacht, dass auch ein Kontrollverlust nicht per se einen (immateriellen) Schaden darstellt.
Zum Sorgfaltsbegriff des Verantwortlichen:
- Indem ein Mitarbeiter ein E-Mail mit den anliegenden Excel-Tabellen an unberechtigte Dritte versandte, hat die Verantwortliche gegen Art 5 Abs 1 lit a und lit f EU-DSGVO verstoßen.
- Der Umstand, dass dies möglich war, zeigt, dass die technischen und organisatorischen Maßnahmen, die die Verantwortliche getroffen hat, unzureichend waren.
- Es ist Sache der Verantwortlichen, durch organisatorische Maßnahmen im Vorfeld dafür zu sorgen, dass in besonderen Situationen, die im alltäglichen Arbeitsablauf nicht vorkommen und für die es deshalb keine konkreten Weisungen gibt, von ihren Mitarbeitern vor der Verarbeitung Anweisungen eingeholt werden, deren Einhaltung dann wiederum die Verantwortliche zu überprüfen hat.
Zur Vorwerfbarkeit des Rechtsverstoßes:
- Das Versenden der E-Mail an unberechtigte Dritte ohne das vorherige Entfernen der angehängten Excel-Dateien ist zumindest als fahrlässig einzustufen.
- Art 82 EU-DSGVO kennt keine Exkulpationsmöglichkeit, Mitarbeiter sorgfältig ausgewählt und überwacht zu haben.