Leitsatz (amtlich)
Zu einem Schadensersatzanspruch aus einer rechtswidrigen Verarbeitung personenbezogener Daten beim Betrieb eines Impfzentrums durch einen kommunalen Hoheitsträger gem. Art. 82 DSGVO und gem. § 839 BGB i.V.m. Art. 34 GG.
Normenkette
BGB § 839 i.V.m; DSGVO Art. 82; GG Art. 34
Verfahrensgang
LG Essen (Aktenzeichen 1 O 272/21) |
Tenor
Die Berufungen des Klägers und der Beklagten gegen das am 02.06.2022 verkündete Urteil der 1. Zivilkammer des Landgerichts Essen werden zurückgewiesen.
Der Kläger trägt die Kosten des Berufungsverfahrens.
Dieses und das angefochtene Urteil sind vorläufig vollstreckbar. Beide Parteien können eine Vollstreckung aus den Urteilen durch Sicherheitsleistung in Höhe von 110 Prozent des aufgrund des jeweiligen Urteils vollstreckbaren Betrages abwenden, wenn nicht die jeweils andere Partei vor der Vollstreckung Sicherheit in Höhe von 110 Prozent des jeweils zu vollstreckenden Betrages leistet.
Die Revision wird zugelassen.
Gründe
I. Der Kläger verlangt immateriellen Schadensersatz aufgrund eines Verstoßes gegen den Datenschutz, insbesondere gegen Vorschriften der VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG - Datenschutz-Grundverordnung - (im Folgenden: DS-GVO).
Die Beklagte betrieb im Jahr 2021 ein Impfzentrum in A, in dem Impfungen gegen das Coronavirus SARS-CoV-2 durchgeführt wurden. Aufgrund einer Änderung der Öffnungszeiten des Impfungszentrums war es erforderlich geworden, die Termine von 1.200 Bürgerinnen und Bürgern zu verschieben, worüber diese am 00.00.2021 mittels einer E-Mail informiert werden sollten.
Im Impfzentrum war eine aus Mitarbeitern der Beklagten bestehende Einheit mit der Terminverwaltung betraut, die am 00.00.2021 aus acht Personen bestand. Nach dem Vortrag der Beklagten waren die Mitarbeiter angehalten, E-Mails nur unter Wahrung eines Vier-Augen-Prinzips zu versenden und beim Versand von E-Mails an mehrere Empfänger die Bcc-Funktion zu nutzen, um gegenüber den Empfängern andere Adressaten nicht offenzulegen. Auch das Einfügen der E-Mail-Adressen in das Bcc-Feld und die Kontrolle von Text und Empfängerkreis vor dem Versand einer E-Mail erfolgte unter Wahrung des Vier-Augen-Prinzips.
Die Daten der zu impfenden Personen und deren Termine wurden in einem von der Kassenärztlichen Vereinigung Nordrhein eingerichteten und betriebenen Portal vorgehalten. Die für das Impfzentrum tätigen Mitarbeiter der Beklagten konnten mittels Benutzername und Passwort auf dieses Portal zugreifen, Terminbuchungen einsehen und als Excel-Tabellen exportieren. Da ein Versand von E-Mails aus dem Portal für sie technisch nicht möglich war, musste zur Information über die geänderten Öffnungszeiten zunächst eine Excel-Tabelle mit den Daten der von der Terminverlegung betroffenen Personen von einem Mitarbeiter der Beklagten aus dem Portal exportiert und auf einem Rechner der Beklagten gespeichert werden. Sodann waren die von den geänderten Öffnungszeiten betroffenen Personen herauszufiltern und deren E-Mail-Adressen herauszukopieren.
Nach Einfügen des Informationstextes in die E-Mail und der E-Mail-Adressen in das Bcc-Feld sollte der Versand der E-Mail aus dem Sammelpostfach "Mail01" erfolgen, schlug jedoch aus nicht bekannten Gründen fehl. Daher wurde die vorbereitete E-Mail von zwei mit der Bearbeitung befassten Mitarbeitern - so die Beklagte - mitsamt der Excel-Liste als Anhang an die dienstliche E-Mail-Adresse eines weiteren oder - nach den Angaben der Beklagten in der Stellungnahme vom 21.12.2022 zum Berichterstattervermerk zur Senatssitzung vom 09.12.2022 - eines in der Sache bereits tätigen Mitarbeiters der Beklagten versandt, um den Versand von dessen dienstlichem Rechner durchzuführen. Nach erneutem Einfügen der E-Mail-Adressen, die der angehängten Excel-Datei entnommen wurden, in das Bcc-Feld konnte der Versand der E-Mail nunmehr von dem anderen Rechner erfolgreich angestoßen werden. Da allerdings vor dem Absenden der Anhang nicht entfernt worden war, wurde auch die nicht durch ein Passwort vor einem einfachen Zugriff geschützte Excel-Datei als Anhang an die 1200 Empfänger versandt. Unmittelbar nach Versand der E-Mail wurde der Fehler bemerkt und die versandte E-Mail zurückgerufen, was in 500 Fällen erfolgreich war.
Die Excel-Datei enthielt personenbezogene Daten von rund 13.000 Personen, die einen Termin zur Durchführung einer Impfung im von der Beklagten betriebenen Impfzentrum gebucht hatten. Neben Vor- und Nachname, Anschrift und Geburtsdatum waren Angaben zum vorgesehenen Impfstoff und zur Frage enthalten, ob es sich um die erste oder zweite Impfung handelte. Soweit die Personen bei der Terminbuchung auch eine Telefonnummer und/oder eine E-Mail-Adresse angegeben hatten, waren auch diese Daten in der Datei enthalten. In Bezug auf den Kläger gab die Liste seinen Vor- und Nachnamen, seine Anschrift, sein Gebu...