Leitsatz (amtlich)
Zu Schadensersatzansprüchen aus einer rechtswidrigen Verarbeitung personenbezogener Daten beim Betrieb eines Impfzentrums, die nach Abtretung seitens der Betroffenen von einem gewerblichen Unternehmen verfolgt werden.
Normenkette
BGB § 839; EUV 2016/679 Art. 5-6, 9, 24, 32, 82; GG Art. 34
Verfahrensgang
LG Essen (Aktenzeichen 1 O 275/21) |
Tenor
Auf die Berufung der Klägerin wird das am 25. Mai 2023 verkündete Urteil der 1. Zivilkammer des Landgerichts Essen (Az. 1 O 275/21) abgeändert.
Die Beklagte wird verurteilt, an die Klägerin 600,00 Euro nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 8. März 2022 zu zahlen.
Im Übrigen bleibt die Klage abgewiesen.
Die weitergehende Berufung wird zurückgewiesen.
Die Kosten des gesamten Rechtsstreits trägt die Klägerin.
Das Urteil ist vorläufig vollstreckbar. Dem jeweiligen Vollstreckungsschuldner wird gestattet, die Vollstreckung durch Sicherheitsleistung in Höhe von 110 % des auf Grund des Urteils zu vollstreckenden Betrags abzuwenden, wenn nicht der jeweilige Vollstreckungsgläubiger vor der Vollstreckung Sicherheit in Höhe von 110 % des jeweils zu vollstreckenden Betrags leistet.
Für die Beklagte wird die Revision zugelassen.
Gründe
I. Die Klägerin - die ihren Sitz in der KE. hat und in Deutschland weder als Inkassodienstleisterin registriert ist, noch über eine anderweitige Rechtsdienstleistungserlaubnis verfügt - verlangt von der Beklagten immateriellen Schadensersatz aufgrund eines Verstoßes gegen den Datenschutz, insbesondere gegen Vorschriften der VO (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG - Datenschutz-Grundverordnung - (im Folgenden: DSGVO).
Die Beklagte betrieb im Jahr 2021 ein Impfzentrum in C., in dem Impfungen gegen das Coronavirus SARS-CoV-2 durchgeführt wurden. Dort war eine aus Mitarbeitern der Beklagten bestehende sog. "Koordinierende Einheit" mit der Terminverwaltung betraut.
Mit den jeweiligen Mitgliedern dieser "Koordinierenden Einheit" fand täglich eine Besprechung statt, in der jeweils auf die besondere Sensibilität der personenbezogenen Daten der zu impfenden Personen hingewiesen wurde. Die Mitarbeiter der "Koordinierenden Einheit" waren angehalten, die Daten nicht mit Dritten zu teilen. Es sollten nur die für festgelegte, eindeutige und legitime Zwecke im Zusammenhang mit der Organisation des Impfzentrums (insbesondere die Absprache und Koordination von Impfterminen) erforderlichen Daten verarbeitet werden.
Hinsichtlich der Nutzung von E-Mails bestand die Anweisung, dass diese unter Wahrung des "Vier-Augen-Prinzips" erstellt, kontrolliert und versendet werden sollten. Insbesondere das Einfügen der E-Mail-Adressen hatte unter Wahrung dieses Prinzips zu erfolgen, und im Rahmen der anschließenden Kontrollen waren sowohl der Textinhalt als auch die ausgewählten Adressaten vor dem Versand von mindestens zwei Mitarbeitern zu überprüfen. Zur Verhinderung der Offenlegung sämtlicher E-Mail-Adressen an alle Adressaten war die bcc-Funktion zu verwenden.
Ferner bestand in sämtlichen Fachbereichen der Beklagten die Anweisung, einer zu adressierenden Person keine persönlichen Daten Dritter offenzulegen, wenn dazu keine rechtliche Legitimation besteht. In Ziffer 5.2.2 der Dienst- und Geschäftsordnung für die Beklagte (DiGO) ist bestimmt:
"Denjenigen Personen, die bei öffentlichen Stellen oder ihren Auftragnehmern dienstlichen Zugang zu personenbezogenen Daten haben, ist es untersagt, solche Daten unbefugt zu einem anderen als dem zur jeweiligen rechtmäßigen Aufgabenerfüllung gehörenden Zweck zu verarbeiten oder zu offenbaren."
Aufgrund einer Änderung der Öffnungszeiten des Impfungszentrums war es erforderlich geworden, die Termine von 1.200 Bürgerinnen und Bürgern zu verschieben, worüber diese von der "Koordinierenden Einheit" - die an diesem Tag aus acht Personen bestand - am 00.00.2021 mittels einer E-Mail informiert werden sollten.
Die Daten der zu impfenden Personen und deren Termine wurden in einem von der Kassenärztlichen Vereinigung P. eingerichteten und betriebenen Portal vorgehalten. Die für das Impfzentrum tätigen Mitarbeiter der Beklagten konnten mittels Benutzername und Passwort auf dieses Portal zugreifen, Terminbuchungen einsehen und als Excel-Tabellen exportieren. Da ein Versand von E-Mails aus dem Portal für sie technisch nicht möglich war, mussten zur Information über die geänderten Öffnungszeiten zunächst drei Excel-Tabellen - sortiert nach jeweiligem Impfstoff - mit den Daten der von der Terminverlegung betroffenen Personen von einem Mitarbeiter der Beklagten aus dem Portal exportiert und auf einem Rechner der Beklagten gespeichert werden. Sodann waren die von den geänderten Öffnungszeiten betroffenen Personen herauszufiltern und deren E-Mail-Adressen herauszukopieren.
Nach Einfügen des Informationstextes in die E-Mail und der E...