Stand: 27.03.2023
Im Betriebsalltag werden die meisten Tätigkeiten, bei denen personenbezogene Daten verarbeitet werden und Datenschutzpflichten verletzt werden könnten, von Beschäftigten der verantwortlichen Stellen durchgeführt. Eine direkte Pflicht zur Schulung, Sensibilisierung und Verpflichtung der Mitarbeiter ergibt sich für Verantwortliche aus der DS-GVO zwar nicht. Die Wichtigkeit der Mitarbeitersensibilisierung sollte dennoch nicht unterschätzt werden, denn eine der größten Gefahrenquellen für Datenschutzverletzungen ist der Mensch – und dies nicht zwingend aus bösem Willen oder Vorsatz. Bereits eine kleine Unachtsamkeit oder Unwissenheit kann zu einer Verletzung des Schutzes personenbezogener Daten („Datenpanne“) führen. Aus diesem Grund ist es unerlässlich, Beschäftigten klare Vorgaben zum Umgang mit Daten im Arbeitsalltag zu geben sowie sie regelmäßig zu schulen und zu sensibilisieren. Die Schulung und Sensibilisierung von Mitarbeitern ist eine der wichtigsten organisatorischen Maßnahmen nach Art. 32 DS-GVO für die Gewährleistung eines angemessenen Schutzniveaus.
Dies zeigt auch die Bußgeldpraxis der Aufsichtsbehörden sowie deren Stellungnahmen in den jährlichen Tätigkeitsberichten. Werden die Mitarbeiter nicht für den Datenschutz sensibilisiert, führt dies allein noch nicht zu einem Bußgeld. Kommt es allerdings zu einem Datenschutzvorfall, der auf die (unbeabsichtigte) Missachtung von Datenschutzvorgaben durch Mitarbeiter zurückzuführen ist, wirkt sich bei der Untersuchung der Aufsichtsbehörde und ggf. im Bußgeldverfahren eine fehlende Schulung und Verpflichtung negativ aus. Verantwortliche Stellen bzw. deren Geschäftsleitung müssen Maßnahmen treffen, um die Umsetzung des Datenschutzes in ihrem Unternehmen zu gewährleisten, das heißt, auch bei ihren Beschäftigten.
Die Mitarbeitersensibilisierung kann sich auch auf die Höhe des Schadensersatzes auswirken, sollte es in Folge einer Datenpanne zur Klage eines Betroffenen kommen. Dies zeigt ein aktueller Fall, der vor dem Oberlandesgericht (OLG) Hamm verhandelt wurde. Das Gericht bestätigte das Urteil der Vorgängerinstanz (Landgericht (LG) Essen, Urteil vom 02.06.2022, Az.: 1 O 272/21) und entschied zwar, dass der Fehlversand einer Exceldatei mit Gesundheitsdaten eine Datenschutzverletzung darstellt, reduzierte den geforderten Schadensersatz von in Summe 20.000 Euro aber deutlich auf 100 Euro (OLG Hamm, Urteil vom 20.01.2023, Az.: 11 U 88/22). Das OLG Hamm wies damit die Berufungen beider Parteien zum Urteil des LG Essen zurück. Grund hierfür waren insbesondere die umfangreichen Sensibilisierungsmaßnahmen, welche die verantwortliche Stelle im Vorfeld getroffen hatte.
Hintergrund der Schadensersatzforderung
Ausgangspunkt der Schadensersatzforderung war eine Datenpanne bei der Terminverwaltung in einem Corona-Impfzentrum im Jahr 2021. In Folge einer Änderung der Öffnungszeiten des Impfzentrums mussten Termine von 1.200 Bürger(innen) verschoben werden. Die zuständigen Mitarbeiter der Terminverwaltung sollten diese Personen im Rahmen einer E-Mail über die Terminverschiebung informieren. Das Team war angewiesen, das Vier-Augen-Prinzip zu wahren und beim Versand an mehrere Empfänger die Bcc-Funktion zu nutzen, wobei auch beim Einfügen der Empfänger das Vier-Augen-Prinzip angewendet werden sollte.
Da ein Versand aus dem verwendeten Terminbuchungsportal technisch nicht möglich war, musste eine Excel-Tabelle zu den Buchungen aus dem Portal exportiert, auf dem Rechner gespeichert und gefiltert werden. Die E-Mail-Adressen der von der Verschiebung Betroffenen mussten hier ebenfalls herauskopiert werden. Nachdem ein erster Versandversuch aus unbekannten Gründen fehlschlug, wurde die vorbereitete E-Mail zusammen mit der Excel-Liste als Anhang über die dienstliche E-Mail-Adresse an einen anderen beteiligten Mitarbeiter geschickt, damit dieser die E-Mail von seinem Dienstrechner aus versenden kann. Die E-Mail-Adressen der Empfänger wurden wiederum aus der Excel-Tabelle herauskopiert und in das Bcc-Feld eingefügt, allerdings wurde beim Versand übersehen, die Exceldatei aus dem Anhang zu löschen. Dadurch wurde die nicht passwortgeschützte Tabelle an alle 1.200 Empfänger der E-Mail versendet. Da der Fehler direkt nach dem Versand auffiel, wurde die E-Mail umgehend zurückgerufen, was in 500 Fällen erfolgreich war.
Die betreffende Excel-Datei enthielt Daten von rund 13.000 Personen, die einen Termin zur Durchführung einer Impfung im von der Beklagten betriebenen Impfzentrum gebucht hatten. Betroffen waren Vor- und Nachname, Anschrift und Geburtsdatum sowie Angaben zum vorgesehenen Impfstoff und zur Frage, ob es sich um die Erst- oder Zweitimpfung handelte. Soweit bei der Terminbuchung auch eine Telefonnummer und/oder eine E-Mail-Adresse angegeben wurde, waren diese Daten ebenfalls in der Datei enthalten.
Laut Anweisung der Betreiberin des Impfzentrums in allen Fachbereichen war es Beschäftigten untersagt, ohne rechtliche Legitimation einer zu adressierenden Person persönlichen Daten Dritter offenzulegen. Noch am Tag der Datenpanne forderte die Betreiberin die Empfänger zur Löschung der Daten auf und informierte die Öffentlichkeit. Zudem wurde der Datenschutzvorfall der zuständigen Aufsichtsbehörde gemeldet und die betroffenen Personen informiert. In dem Schreiben an die Betroffenen teilte die Betreiberin mit, dass nur ein geringes Risiko für einen Datenmissbrauch bestehe und weitere Maßnahmen ergriffen wurden, um solche Vorfälle künftig zu vermeiden. Hierzu gehört es, die Excel-Tabelle standardmäßig mit einem Passwort zu versehen.
Positionen der Beteiligten
Ein Betroffener teilte die Einschätzung eines „geringen Risikos“ nicht und forderte deshalb eine Entschädigung in Höhe von insgesamt 20.000 Euro wegen einer gravierenden Persönlichkeitsrechtsverletzung. Seit dem Vorfall sei er bereits Opfer von sog. Phishing-Mails geworden und in das Fadenkreuz militanter Impfgegner geraten. Auch wenn er auf Facebook durch eigene Posts seinen Impfstatus öffentlich gemacht habe, hätte er dort nicht in dem Maße Daten veröffentlicht, wie sie durch die Datenpanne Dritten offengelegt wurden. Er nehme den Vorfall durchaus ernst, da hierdurch Daten wie seine vollständige Adresse und seine Haltung zur Corona-Impfung auch Kriminellen bekannt gemacht wurde. Zudem sei der Vorfall so massiv, dass er eine reine Fahrlässigkeit seitens der Mitarbeiter des Impfzentrums ausschließe.
Die beklagte Betreiberin (eine Behörde) argumentierte, dass sich für den Kläger durch den Vorfall keinerlei negative Folgen ergeben hätten. Seine Behauptungen, plötzlich Opfer von Phishing-Mails zu sein und Angriffe von Impfgegnern zu fürchten, seien weder glaubhaft noch würden sie für sich genommen einen Schadensersatzanspruch begründen. Im Übrigen läge weder ein Verstoß gegen die DS-GVO noch ein Verschulden oder ein kausaler Schaden vor. Da die Excel-Datei nur für den internen Gebrauch vorgesehen war, sei ein Passwortschutz nicht erforderlich gewesen. Zudem sei der Vorfall trotz aller Verpflichtung und Sensibilisierung auf „bedauerliches menschliches Versagen in dieser speziellen Drucksituation“ in einem Einzelfall zurückzuführen, was wenn überhaupt als leichte Fahrlässigkeit angesehen werden kann.
Entscheidung der Gerichte
In der ersten Instanz sprach das Landgericht (LG) Essen (Urteil vom 02.06.2022, Az.: 1 O 272/21) dem Kläger 100 Euro Schadensersatz zzgl. Zinsen zu, wies die Klage im Übrigen aber ab. Das Landgericht sah einen Verstoß gegen Art. 32 DS-GVO (Sicherheit der Verarbeitung) sowie gegen Art. 5 Abs. 1 lit. f) DS-GVO (Grundsatz der Integrität und Vertraulichkeit). Das Impfzentrum hätte geeignete Schutzmaßnahmen ergreifen müssen, um einen versehentlichen Versand sensibler Daten zu verhindern (z. B. Passwortschutz, Vier- bzw. Sechs-Augen-Prinzip). Die Daten seien nicht in einer Weise verarbeitet worden, die eine angemessene Sicherheit gewährleistet hätte. Zudem lägen durch die Weiterleitung und den Versand Verstöße gegen Art. 9 Abs. 1 DS-GVO (Zulässigkeit der Verarbeitung besonderer Kategorien von Daten) und Art. 6 Abs. 1 S. 1 lit. a) DS-GVO (unrechtmäßige Verarbeitung aufgrund fehlender Einwilligung) vor.
Ein Verschulden der verantwortlichen Stelle wird gem. Art. 82 Abs. 3 DS-GVO vermutet, das Impfzentrum konnte sich auch nicht exkulpieren (Exkulpation = Schuldbefreiung). Anknüpfungspunkt ist für das LG Essen dabei nicht das Verhalten einzelner Mitarbeiter, sondern die Strukturschwäche in der Datenverwaltung beim Impfzentrum, die auch den Verstoß gegen Art. 32 DS-GVO begründet. Nach Ansicht des Landgerichts ist durch den unfreiwilligen Datenverlust auch ein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DS-GVO entstanden, da die betroffenen Daten eine eindeutige Identifizierung des Betroffenen möglich machen und in vielerlei Hinsicht eine Missbrauchsgefahr bergen würden. Zudem sei die Übersendung endgültig und nicht rückgängig zu machen. Es sei auch zu berücksichtigen, dass von sich unter den Daten auch besonders sensible Gesundheitsdaten befinden, die nach Art. 9 DS-GVO einem besonderen Schutz unterliegen. Eine weitere Betroffenheit über den Datenverlust hinaus sieht das Gericht allerdings nicht, weshalb es den immateriellen Schaden auf 100 Euro bemisst.
Für ein vorsätzliches Verhalten des Impfzentrums sieht das Gericht keine Anhaltspunkte. Zudem handle es sich bei den betroffenen Daten um solche, die bei einer Vielzahl von Gelegenheiten preisgegeben werden oder leicht abgefragt werden können (z. B. Adresse, E-Mail-Adresse, Rufnummer, Geburtsdatum auf Facebook). Einen Anspruch auf Ersatz der Rechtsanwaltskosten lehnt das Landgericht ab, ebenso wie einen Anspruch aus § 839 BGB (Haftung bei Amtspflichtverletzung) i. V. m. Art. 34 GG i. V. m. Art. 1 Abs. 1, 2 GG. Für diese deliktische Haftung fehle es im Hinblick auf Art und Schwere der Beeinträchtigung, Grad des Verschuldens sowie Anlass und Beweggrund des Handelns an einem schwerwiegenden Eingriff in das Persönlichkeitsrecht.
Beide Parteien haben gegen das Urteil des LG Essen Berufung eingereicht, weshalb der Fall vor dem OLG Hamm landete. Das Gericht kam ebenfalls zu der Entscheidung, dass die Panne bei der Terminverwaltung im Impfzentrum einen Verstoß gegen die DS-GVO darstellt. Es lägen Verstöße gegen Art. 5 Abs. 1 lit. a) DS-GVO (Grundsatz der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz), Art. 5 Abs. 1 lit. f) DS-GVO (Grundsatz der Integrität und Vertraulichkeit) und Art. 9 Abs. 1 DS-GVO (Zulässigkeit der Verarbeitung besondere Kategorien personenbezogener Daten) vor. Die Frage, ob auch ein Verstoß gegen Art. 32 DS-GVO (Sicherheit der Verarbeitung) gegeben ist, hat das Gericht offengelassen. Grundsätzlich wären die getroffenen Maßnahmen geeignet gewesen, ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Ob noch zusätzliche Maßnahmen erforderlich gewesen wären, falle bei der abschließenden Beurteilung des Datenschutzverstoßes nicht erheblich ins Gewicht.
Die verantwortliche Betreiberin konnte nach Ansicht des OLG Hamm auch im zweiten Verfahren nicht nachweisen, dass sie in keinerlei Hinsicht für den schadensverursachenden Umstand verantwortlich ist, das heißt, ihr gelang keine Exkulpation. Zugleich konnte der Kläger aber auch keinen Vorsatz nachweisen, weshalb das Gericht nur einen geringen Verschuldensgrad sieht. Für den entstandenen immateriellen Schaden durch den Kontrollverlust hält das OLG Hamm die festgesetzte Summe des LG Essen von 100 Euro ebenfalls für angemessen. Zudem wird eine deliktische Haftung aus § 839 BGB wiederum abgelehnt, ebenso wie der Ersatz der Rechtsanwaltskosten. Das OLG hat die Revision zugelassen, da insbesondere noch nicht höchstrichterlich geklärt ist, ob bei einem immateriellen Schadensersatz nach Art. 82 DS-GVO tatsächlich keine Exkulpation nach § 831 Abs. 1 S. 2 BGB (Beschränkung der Haftung für Verrichtungsgehilfen bei ausreichender Sorgfalt) möglich ist.
Fazit: Schulung und Sensibilisierung der Mitarbeiter essenziell
Die Betreiberin des Impfzentrums hatte umfangreiche (organisatorische) Maßnahmen getroffen, um die Einhaltung der datenschutzrechtlichen Vorgaben durch die Beschäftigten sicherzustellen. Die Mitarbeiter wurden unter anderem sorgsam ausgewählt, zur Wahrung der Vertraulichkeit verpflichtet und angehalten, in bestimmten Situationen das Vier-Augen-Prinzip zu wahren. Trotz dieser umfangreichen Maßnahmen kam es durch die Verkettung ungünstiger Umstände, namentlich dem Zusammenspiel technischer Fehler und menschlichem Versagen, zu einer Datenschutzverletzung. Dabei hat die schnelle Reaktion der Mitarbeiter, die wohl auf die stetige Sensibilisierung zurückzuführen ist, den Schaden in gewissem Umfang vermindert da rund 500 Mails zurückgerufen werden konnten.
Durch diese Gesamtkonstellation gelang es der Betreiberin, zumindest deliktische Schadensersatzansprüche abzuwehren und den datenschutzrechtlichen Schadensersatzanspruch (pro Person) vergleichsweise gering zu halten. Dass trotz der umfangreichen Maßnahmen keine vollständige Exkulpation möglich war, macht noch einmal deutlich, wie wichtig die Sicherstellung datenschutzkonformer Strukturen in Unternehmen, Behörden und anderen datenverarbeitenden Stellen ist. Welche technischen (z. B. Passwortschutz) und organisatorischen (z. B. Vier-Augen-Prinzip) Maßnahmen geeignet und erforderlich sind, hängt vom Einzelfall ab. Hierbei spielen auch die Daten, welche von der Verarbeitung betroffen sind eine Rolle.
Grundsätzlich gilt es, das Risiko einer möglichen Datenschutzverletzung möglichst gering zu halten, wozu eine Analyse der möglichen Schwachstellen und Angriffspunkte erforderlich ist. Dies umfasst sowohl den Schutz durch äußere Einflüsse und Angreifer als auch Fehlerquellen innerhalb der Organisation – eben wie Beschäftigte, die im Arbeitsalltag mit personenbezogen Daten umgehen. Wissen diese Personen, was sie aus Datenschutzsicht beachten müssen, wie sie in bestimmten Situationen reagieren müssen und sind sie sensibel für Punkte, die datenschutzrechtliche kritisch sein könnten, vermindert dies die Wahrscheinlichkeit, dass es zu Datenpannen durch menschliche Fehler kommt bzw. hilft es, den Schaden möglichst gering zu halten.