Verstoß: Unerlaubte Datenweiterleitung (Gesundheitsdaten)
Tenor
Auf die Berufung der Beklagten wird das am 3. August 2020 verkündete Urteil der 3. Zivilkammer des Landgerichts Wuppertal (3 O 101/19) teilweise abgeändert und insgesamt wie folgt neu gefasst:
Die Beklagte wird verurteilt, an die Klägerin 2.000,- € nebst Zinsen in Höhe von fünf Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 31. Januar 2019 zu zahlen.
Die Beklagte wird verurteilt, die Klägerin gegenüber ihren Prozessbevollmächtigten von vorgerichtlichen Rechtsanwaltskosten in Höhe von 255,85 € freizustellen.
Im Übrigen wird die Klage abgewiesen.
Die weitergehende Berufung der Beklagten und die Berufung der Klägerin werden zurückgewiesen.
Von den Kosten des Rechtsstreits in beiden Instanzen haben die Klägerin 88 % und die Beklagte 12 % zu tragen.
Das Urteil ist vorläufig vollstreckbar.
Die Revision wird nicht zugelassen.
Entscheidungsgründe
I.
Die Klägerin verlangt von der Beklagten, einer gesetzlichen Krankenkasse, Schmerzensgeld wegen eines Verstoßes gegen Datenschutzvorschriften.
Die Klägerin ist bei der Beklagten gesetzlich krankenversichert. Am 27. November 2018 führte sie mit einem Versicherungsmakler ein Beratungsgespräch über den Abschluss einer privaten Krankentagegeldversicherung, die schon zum 1. Januar 2019 zu laufen beginnen sollte. Der Makler empfahl ihr, vorbereitend einen Auszug ihrer Gesundheitsakte bei der Beklagten anzufordern. Das sollte es der Klägerin ermöglichen, die mit dem Versicherungsantrag zu beantwortenden Gesundheitsfragen zutreffend beantworten zu können. Die Klägerin nahm sich daraufhin vor, ihre Gesundheitsakte über die Weihnachtsfeiertage 2018 durchzusehen.
Am 14. Dezember 2018 meldete sich die Klägerin telefonisch bei der Beklagten, um sich den die letzten drei Jahre betreffenden Inhalt ihrer Gesundheitsakte zusenden zu lassen. Den Anruf nahm der bei der Beklagten beschäftigte Zeuge A. entgegen. Der genaue Inhalt und Verlauf des Telefongesprächs ist zwischen den Parteien streitig geblieben. Im Ergebnis notierte sich der Zeuge für die Übersendung der Akte die E-Mail-Adresse der Klägerin. Dies geschah jedoch nicht in der von der Klägerin angegebenen zutreffenden Schreibweise „
Nachdem die Klägerin bis zum 17. Dezember 2018 keinen E-Mail-Eingang von der Beklagten verzeichnen konnte, meldete sie sich am Vormittag dieses Tages wiederholt telefonisch bei der Beklagten, um sich nach dem Vorgang zu erkundigen. Am Nachmittag erhielt sie von der Beklagten Nachricht, dass die E-Mail von dem Zeugen A. an eine falsche E-Mail-Adresse gesandt worden sei. Die Beklagte veranlasste noch am 17. Dezember 2018 einen postalischen Versand der Gesundheitsakte an die Anschrift der Klägerin.
In der Zeit vom 17. bis zum 20. Dezember 2018 rief die Klägerin wiederholt bei der Beklagten an und teilte mit, wie sehr sie unter der Ungewissheit ob des Verbleibs ihrer Gesundheitsdaten leide und dass sie seit Tagen nicht mehr schlafen könne. Die Beklagte sicherte wiederholt zu, sich um die Angelegenheit zu kümmern. Der Zeuge A. sprach der Klägerin spätestens am 20. Dezember 2018 eine Entschuldigung auf die Mailbox. Am selben Tag leitete er die für die Klägerin bestimmte, aber versehentlich an das falsche E-Mail-Postfach versandte E-Mail an seinen Vorgesetzten, Herrn C., sowie am 7. Januar 2019 auch an den Leiter des Kundenservices in der Hauptgeschäftsstelle Karlsruhe, den Zeugen D., weiter.
Mit Schreiben ihrer Prozessbevollmächtigten vom 21. Dezember 2018 (Anlage N2) forderte die Klägerin die Beklagte auf, bis zum 3. Januar 2019 Auskunft über den Verlauf der Datenschutzverletzung zu geben. Die Beklagte räumte die Datenschutzverletzung mit Schreiben vom 9. Januar 2019 (Anlage N3) ein.
Mit einem Schreiben ihrer Prozessbevollmächtigten vom 15. Januar 2019 forderte die Klägerin die Beklagte unter Bezugnahme auf Art. 82 DSGVO auf, ihr wegen des in dem fehlerhaften E-Mail-Versand liegenden Datenschutzverstoßes bis zum 30. Januar 2019 ein Schmerzensgeld von 15.000,- € zu zahlen und Anwaltskosten in Höhe von 1.029,35 € zu ersetzen. Die Beklagte wies diese Forderung mit Schreiben vom 25. Januar 2019 (Anlage N6) zurück, bot aber ohne Anerkennung einer Rechtspflicht an, der Klägerin 500,- € zu zahlen. Die Klägerin ging hierauf nicht ein.
Die Klägerin hat behauptet, sie habe in dem Gespräch mit dem Zeugin A. eine postalische Übersendung der Gesundheitsakte gewünscht. Der Zeuge habe stattdessen aus Umweltschutzgründen einen E-Mail-Versand vorgeschlagen. Das habe sie zunächst mehrfach zurückgewiesen, sich wegen der Beharrlichkeit des Zeugen dann aber doch darauf eingelassen. Nach dem fehlerhaften E-Mail-Versand habe die Beklagte bis zum 19. Dezember 2018 nichts unternommen, um die Versendung rückgängig zu machen. Der Zustand, dass fremde Personen Einblick in ihre Gesundheitsdaten haben könnten, sei für sie unerträglich.
Die Klägerin hat beantragt,
1. die Beklagte zu verurteilen, an die Klägerin ein in das Ermessen des Gerichts gestelltes Schmerzensgeld zzgl. Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz ab dem 31.01.2019 zu zahlen,
2. festzustellen, dass die Beklagte verpflichtet ist, der Klägerin alle zukünftigen materiellen und immateriellen Schäden, die sich aus dem Datenschutzverstoß der Beklagten vom 14.12.2018 ergeben, zu ersetzen,
3. die Beklagte zu verurteilen, die Klägerin von außergerichtlich angefallenen, anrechnungsfreien Rechtsanwaltskosten in Höhe von 1.029,35 € freizustellen.
Die Beklagte hat beantragt,
die Klage abzuweisen.
Die Beklagte hat behauptet, die Versendung der elektronischen Gesundheitsakte per E-Mail sei auf ausdrücklichen Wunsch der Klägerin erfolgt. Die Klägerin habe die Unterlagen schnell erhalten wollen. Am 20. Dezember 2018 habe sie, die Beklagte, erfolglos versucht, die E-Mail mithilfe des Programms Outlook zurückzurufen. Ihr Mitarbeiter C. habe am selben Tag eine E-Mail an einen etwaigen Nutzer des Postfachs „
Das Landgericht hat die Beklagte nach Beweisaufnahme mit Urteil vom 18. Mai 2020 verurteilt, an die Klägerin 4.000,- € zuzüglich Zinsen zu zahlen und sie von vorgerichtlichen Anwaltskosten in Höhe von 413,64 € freizustellen. Zudem hat es festgestellt, dass die Beklagte verpflichtet ist, der Klägerin alle zukünftigen materiellen und immateriellen Schäden zu ersetzen, die sich aus dem Datenschutzverstoß der Beklagten noch ergeben. Zur Begründung hat es ausgeführt, dass der Klägerin ein Schmerzensgeldanspruch in der ausgeurteilten Höhe aus Art. 82 Abs. 1 DSGVO zustehe. Der Klägerin sei durch einen Verstoß der Beklagten gegen Art. 32 Abs. 1 DSGVO ein immaterieller Schaden entstanden. Die Beklagte habe gegen ihre Pflichten aus Art. 32 DSGVO verstoßen, indem sie keine geeigneten technischen und organisatorischen Maßnahmen innerhalb ihres Geschäftsbereichs getroffen habe, um zu verhindern, dass Mitarbeiter Gesundheitsdaten unverschlüsselt versenden. Durch das unverschlüsselte Versenden der elektronischen Gesundheitsakte sei der Klägerin ein immaterieller Schaden entstanden. Sie sei in ihrem allgemeinen Persönlichkeitsrecht erheblich verletzt worden. Ein Mitverschulden hieran sei der Klägerin nicht vorzuwerfen. Angesichts des Datenschutzverstoßes sei ein Schmerzensgeldbetrag von 4.000,- € ausreichend und angemessen. Zwar sei die Kammer nach dem Ergebnis der Beweisaufnahme davon überzeugt, dass auf das E-Mail-Postfach, an welches die E-Mail versehentlich gesandt worden sei, seit seiner Anlegung nicht zugegriffen worden und dieses inzwischen auch deaktiviert worden sei. Es sei aber zu beachten, dass unbefugte Dritte die E-Mail auch auf dem Übermittlungsweg mitgelesen haben könnten. Ein solches Mitlesen sei gerichtsbekannt technisch ohne Weiteres möglich. Wegen der weiteren Einzelheiten der Urteilsbegründung wird auf die Entscheidungsgründe des angefochtenen Urteils Bezug genommen.
Gegen das den Parteien jeweils am 5. August 2020 zugestellte Urteil haben sie am 31. August und 3. September 2020 Berufung beim Oberlandesgericht Düsseldorf eingelegt. Nach Verlängerung der Berufungsbegründungsfrist jeweils bis zum 5. November 2020, ist die Berufungsbegründung der Beklagten am 5. Oktober 2020 und diejenige der Klägerin am 5. November 2020 bei Gericht eingegangen.
Die Beklagte rügt das landgerichtliche Urteil als fehlerhaft. Sie bestreite, dass die Klägerin in dem Telefonat ihre richtige E-Mail-Adresse genannt habe. Durch unternehmensinterne Richtlinien habe sie, die Beklagte, ein angemessenes Datenschutzniveau gesichert. Das ergebe sich insbesondere aus ihren Sicherheits- und Kontrollvorschriften (SiKo), zu denen alle Mitarbeiter geschult würden. Auch der Zeuge A. sei in den Jahren 2017 und 2018 geschult worden. Dass Dritte regelmäßig beim Versand von E-Mails mitlesen könnten, werde bestritten; jedenfalls sei nicht nachvollziehbar, warum es sich um einen gerichtsbekannten Umstand handele. Entgegen der Ansicht des Landgerichts lägen die Voraussetzungen des Art. 82 Abs. 1 DSGVO nicht vor. Gegen Art. 32 Abs. 1 DSGVO sei von ihr nicht verstoßen worden. Sie habe die bei ihr angewendeten technischen und organisatorischen Maßnahmen sorgfältig ausgewählt, um ein angemessenes Datenschutzniveau zu sichern. Ein einmaliges Fehlverhalten eines Mitarbeiters stelle keinen Verstoß gegen die mit der Schaffung der SiKo erfüllte Pflicht zur Sicherung eines angemessenen Datenschutzniveaus dar. Mit seiner Forderung an sie, durch technische oder organisatorische Maßnahmen sicherzustellen, dass keine Sozialdaten ungeschützt und unverschlüsselt versendet werden können, habe das Landgericht seine Prüfungskompetenz überschritten. Zudem habe die Klägerin diese Form der Übersendung gewünscht. Der Versand der Gesundheitsakte per unverschlüsselter E-Mail sei kein Datenschutzverstoß, weil die Klägerin darin gemäß Art. 6 Abs. 1 lit. a) DSGVO eingewilligt habe. Bei einem Schreibfehler des Zeugen A. hinsichtlich der E-Mail-Adresse handele es sich sodann um ein Versehen, das nicht über einen Bagatellverstoß hinausreiche. Daraus folge kein relevanter Rechtsverstoß. Selbst wenn man einen solchen annähme, fehle es an einem für Art. 82 Abs. 1 DSGVO notwendigen ersatzfähigen immateriellen Schaden der Klägerin, weil die dafür notwendige Bagatellschwelle nicht überschritten werde. Jedenfalls stünde einem Schadensersatzanspruch ein überwiegendes Mitverschulden der Klägerin entgegen, weil sie den Kommunikationsweg per E-Mail selbst eröffnet habe. Der zugesprochene Schadensersatzbetrag sei schließlich auch überhöht. Ein Feststellungsanspruch stehe der Klägerin nach alledem ebenfalls nicht zu.
Die Beklagte beantragt,
das angefochtene Urteil des Landgerichts Wuppertal vom 3. August 2020 (Az. 3 O 101/19) aufzuheben und die Klage abzuweisen sowie die Berufung der Klägerin zurückzuweisen.
Die Klägerin beantragt,
1. das Urteil des Landgerichts Wuppertal vom 03.08.2020 dahingehend abzuändern, dass die Beklagte verurteilt wird, an die Klägerin ein in das Ermessen des Gerichts gestelltes Schmerzensgeld, das 15.000,00 € nicht unterschreiten sollte, zzgl. Zinsen in Höhe von 5 %-Punkten über dem Basiszinssatz seit dem 31.01.2019 zu zahlen,
2. unter Abänderung des landgerichtlichen Urteils die Beklagte zu verurteilen, die Klägerin von außergerichtlich angefallenen, erstattungsfähigen, anrechnungsfreien Rechtsanwaltskosten in Höhe von weiteren 615,71 € freizustellen und
3. im Übrigen das landgerichtliche Urteil aufrechtzuerhalten,
4. hilfsweise, die Sache an das Landgericht zur erneuten Entscheidung zurückzuweisen, sowie
5. die Berufung der Beklagten zurückzuweisen.
Die Klägerin ist der Ansicht, dass das Landgericht ein zu niedriges Schmerzensgeld ausgeurteilt habe. Sie sei nach dem Vorfall emotional derangiert gewesen und habe sich zunächst vollständig allein gelassen gefühlt. Sie leide bis heute an der Frage, welche Folgen ihr aus der Datenschutzverletzung erwachsen könnten. Diese Verletzung sei erheblich, das Verhalten des Zeugen A. mindestens grob fahrlässig. Bis heute sei unklar, ob es einen Zugriff Dritter auf den Mailversand gegeben habe.
Bezüglich der Berufung der Beklagten ist die Klägerin der Ansicht, dass diese unbegründet sei. Mit ihrem neuen tatsächlichen Vorbringen sei die Beklagte präkludiert, dieses werde im Übrigen auch bestritten. Die von der Beklagten behaupteten Datenschutzmaßnahmen stellten dessen ungeachtet aber auch kein angemessenes Schutzniveau im Sinne von Art. 32 DSGVO dar. In die Versendung der Gesundheitsakte per E-Mail habe sie nicht freiwillig eingewilligt. Ein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO werde bereits durch den Verlust über die Kontrolle der eigenen Daten begründet, der hier mindestens neun Monate angedauert habe.
Die Beklagte wiederum ist der Ansicht, dass ihr Berufungsvorbringen zu ihren Maßnahmen zur Herstellung eines angemessenen Schutzniveaus im Sinne von Art. 32 DSGVO nicht präkludiert sei. Es sei für sie nicht zu erkennen gewesen, dass das Landgericht auf diesen Gesichtspunkt bei seiner Entscheidung habe abstellen wollen.
Wegen der weiteren Einzelheiten des Sach- und Streitstands wird gemäß § 540 Abs. 1 Satz 1 Nr. 1 ZPO auf die tatsächlichen Feststellungen des angefochtenen Urteils sowie die gewechselten Schriftsätze verwiesen.
Der Senat hat die Klägerin im Termin zur mündlichen Verhandlung informatorisch angehört. Wegen der diesbezüglichen Einzelheiten wird auf das Sitzungsprotokoll Bezug genommen.
II.
Die Berufung der Klägerin ist unbegründet, diejenige der Beklagten hat demgegenüber teilweise Erfolg. Die auf Zahlung eines Schmerzensgelds gerichtete Leistungsklage der Klägerin ist nur in Höhe von 2.000,- € nebst Zinsen begründet. Der von ihr geltend gemachte Freistellungsanspruch steht ihr nur in Höhe von 255,85 € zu und der von ihr verfolgte Feststellungsantrag ist bereits unzulässig.
1.
Bezüglich ihrer Verurteilung zur Zahlung von 4.000,- € hat die Berufung der Beklagten teilweise Erfolg, diejenige der Klägerin ist hingegen unbegründet. Die im Ergebnis auf Zahlung eines Schmerzensgeldes von mindestens 15.000,- € gerichtete Leistungsklage der Klägerin ist zulässig, aber weder in der von der Klägerin angestrebten Höhe noch in der vom Landgericht zugesprochenen Höhe von 4.000,- € begründet, sondern nur im Umfang von 2.000,- €.
a)
Die auf Zahlung eines Schmerzensgelds gerichtete Leistungsklage ist zulässig.
Der Zulässigkeit der Klage in dem von der Klägerin beschrittenen Rechtsweg zu den ordentlichen Gerichten steht in der Berufungsinstanz nicht mehr entgegen, dass für die auf Art. 82 Abs. 1 DSGVO gestützte Klage, die sich gegen eine gesetzliche Krankenkasse richtet, gemäß §§ 35 Abs. 2 SGB I, 81b Abs. 1 SGB X, 51 Abs. 1 Nr. 2 SGG erstinstanzlich der Rechtsweg zu den Sozialgerichten eröffnet gewesen wäre. Gemäß § 17a Abs. 5 GVG ist eine Rechtswegverweisung in der Rechtsmittelinstanz ausgeschlossen.
Der von der Klägerin verfolgte unbezifferte Schmerzensgeldantrag ist auch hinreichend bestimmt im Sinne von § 253 Abs. 2 Nr. 2 ZPO. Die Klägerin trägt die tatsächlichen Grundlagen für ihre Schmerzensgeldforderung nicht nur vor, sondern nimmt ihre Schmerzensgeldvorstellung sogar in ihren Berufungsantrag auf.
b)
Die zulässige Leistungsklage ist jedoch in der Hauptsache nur im Umfang von 2.000,- € auch begründet.
aa)
Aufgrund der vom Zeugen A. an die falsche E-Mail-Adresse versandten Gesundheitsakte der Klägerin hat diese gegen die Beklagte infolge eines durch den fehlerhaften Versand erlittenen immateriellen Schadens einen Anspruch auf Schadensersatz aus Art. 82 Abs. 1 DSGVO. Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Verordnung ein immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen. Verantwortlich im Sinne von Art. 4 Nr. 7 DSGVO für die Verarbeitung der Gesundheitsdaten der Klägerin ist die Beklagte als deren gesetzliche Krankenkasse.
(1)
Es kann dahinstehen, ob Art. 82 Abs. 1 DSGVO für das sozialrechtliche Rechtsverhältnis zwischen der Klägerin und der Beklagten unmittelbar gilt. So kann die sachliche Anwendbarkeit der DSGVO gemäß Art. 2 Abs. 2 a) DSGVO zweifelhaft sein, weil zwar Art. 16 Abs. 2 Satz 1 AEUV eine Gesetzgebungskompetenz der Europäischen Union für den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten begründet, zugleich aber Art. 168 Abs. 7 Satz 1 AEUV die Verantwortung der Mitgliedstaaten für die Festlegung ihrer Gesundheitspolitik und für die Organisation des Gesundheitswesens und die medizinische Versorgung unberührt lässt. Selbst wenn die DSGVO auf das Rechtsverhältnis der Klägerin zu ihrer gesetzlichen Krankenkasse nicht unmittelbar anwendbar sein sollte, so wären ihre Vorschriften gemäß § 35 Abs. 2 Satz 2 SGB I jedenfalls entsprechend anzuwenden (siehe BSG, Urteile vom 20. Januar 2021 – B 1 KR 7/20 R, juris, Rn. 25-28, vom 8. Oktober 2019 – B 1 A 3/19 R, juris, Rn. 37, und vom 18. Dezember 2018 – B 1 KR 40/17 R, juris, Rn. 29) und zwar auch auf Datenverarbeitungsvorgänge, welche nicht den Voraussetzungen von Art. 2 Abs. 1 DSGVO entsprechen (vgl. Schifferdecker, in: Kasseler Kommentar Sozialversicherungsrecht, Stand: 114. EL Mai 2021, § 35 SGB I Rn. 86: „Datensammlung auf Notizzettel“). Dadurch wird sichergestellt, dass sämtliche Tätigkeitsbereiche, in denen Sozialdaten verarbeiten werden, demselben datenschutzrechtlichen Regime unterliegen (Greiner, in: Knickrehm/Kreikebohm/Waltermann, Kommentar zum Sozialrecht, 7. Aufl., § 35 SGB I Rn. 3).
(2)
Art. 82 Abs. 1 DSGVO, auf den die Klägerin ihr Klagebegehren stützt, ist auch nicht deshalb unanwendbar, weil es bei der von der Beklagten an das falsche E-Mail-Konto versandten Gesundheitsakte um eine Verbreitung personenbezogener Daten geht, die den Schutzbereich des allgemeinen Persönlichkeitsrechts betreffen.
Nach Auffassung des Senats ist die ungewollte Preisgabe von Daten, über die hier zu befinden ist, dem Recht auf informationelle Selbstbestimmung als eigenständigem Teilgehalt des allgemeinen Persönlichkeitsrechts zuzuordnen. Davon zu unterscheiden ist die sichtbare Verbreitung bestimmter Informationen im öffentlichen Raum als Ergebnis eines Kommunikationsprozesses, die den äußerungsrechtlichen Ausprägungen des allgemeinen Persönlichkeitsrechts zuzuordnen ist (siehe BVerfG, Beschluss vom 6. November 2019 – 1 BvR 16/13, juris, Rn. 79-91; Senatsbeschlüsse vom 16. März 2021 – I-16 U 317/20, und vom 16. Februar 2021 – I-16 U 269/20, juris, Rn. 7). Dies zugrunde gelegt, steht eine Eröffnung des Schutzbereichs des allgemeinen Persönlichkeitsrechts aus Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG der Anwendung des Art. 82 Abs. 1 DSGVO hier nicht entgegen, weil es in seiner Ausprägung als Recht auf informationelle Selbstbestimmung betroffen ist, dessen Schutz die datenschutzrechtlichen Regelungen der DSGVO dienen. In der auf einem Schreib- oder Tippfehler beruhenden Versendung der Gesundheitsakte an ein falsches E-Mail-Postfach liegt eine schlichte Preisgabe von Daten ohne ein kommunikatives Ziel. Dies gilt zumal im Hinblick auf den Inhaber des E-Mail-Postfachs, an den die Akte nicht versandt werden sollte. Mit einem Kommunikationsprozess hat die versehentliche Datenpreisgabe nur peripher insofern zu tun, als ihr ein Telefongespräch zwischen der Klägerin und dem Zeugen A. vorausgegangen ist. Für die Eröffnung des Schutzbereichs des allgemeinen Persönlichkeitsrechts in seiner äußerungsrechtlichen Ausprägung reicht das indes nicht aus.
(3)
In dem Versand der E-Mail mit der Gesundheitsakte der Klägerin an das falsche E-Mail-Postfach liegt ein Verstoß gegen die DSGVO. Eine Datenverarbeitung, zu der gemäß Art. 4 Nr. 2 DSGVO auch die Offenlegung durch Übermittlung gehört, ist nach der DSGVO nur rechtmäßig, wenn die betroffene Person gemäß Art. 6 Abs. 1 Satz 1 lit. a) DSGVO ihre Einwilligung zu der Verarbeitung gegeben hat oder eine der übrigen in Art. 6 Abs. 1 Satz 1 DSGVO normierten Rechtmäßigkeitsvoraussetzungen vorliegt. Dies ist hier im Hinblick auf den Versand der E-Mail mit der ihr angefügten Gesundheitsakte der Klägerin an die E-Mail-Adresse „
(4)
Weitere Datenschutzverstöße zulasten der Klägerin lassen sich hingegen nicht feststellen.
(a)
Die vom Landgericht angenommene Verletzung des Art. 32 DSGVO ist nicht zu bejahen. Anders als das Landgericht vermag der Senat aus dem Fehler beziehungsweise Fehlverhalten eines einzelnen Mitarbeiters nicht den Rückschluss zu ziehen, dass die Beklagte kein nach Art. 32 DSGVO ausreichendes Datenschutzniveau implementiert hatte. Weitere für einen solchen Schluss notwendige Anknüpfungstatsachen hat die insoweit darlegungs- und beweisbelastete Klägerin weder ausreichend vorgetragen noch unter Beweis gestellt.
(b)
Soweit das Landgericht zudem als einen Datenschutzverstoß der Beklagten beanstandet, dass der Zeuge A. die E-Mail unverschlüsselt und mit unverschlüsselter bzw. nicht pseudonymisierter Gesundheitsakte als Anhang versandt hat, überzeugt auch das nicht. Ein Datenschutzverstoß durch diese Form der Versendung liegt aufgrund einer Einwilligung der Klägerin nach Art. 6 Abs. 1 Satz 1 lit. a) DSGVO nicht vor. Eine Einwilligung ist nach Art. 4 Nr. 11 DSGVO jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Diese Voraussetzungen liegen hier vor.
(aa)
Die Klägerin hat unmissverständlich zum Ausdruck gebracht, dass sie mit der Übersendung der Gesundheitsakte per E-Mail einverstanden ist. Im Verlauf des Gesprächs mit dem Zeugen A. teilte sie dem Zeugen ihre E-Mail-Adresse mit. Das konnte dieser nicht anders verstehen und kann auch objektiv nicht anders verstanden werden, als dass die Klägerin die Gesundheitsakte schließlich doch per E-Mail übersandt erhalten wollte. Dabei musste ihr zugleich klar sein, dass diese Übersendung weder verschlüsselt noch in pseudonymisierter Form erfolgen würde. Über solche besonderen Formen der Versendung hatte die Klägerin mit dem Zeugen nicht gesprochen. Entsprechende Wünsche hatte sie nicht geäußert. Ein für die Entschlüsselung notwendiges Passwort war nicht ausgetauscht worden.
(bb)
Der wirksamen Einwilligung steht nicht deren fehlende Freiwilligkeit entgegen. Freiwilligkeit wäre zu verneinen, wenn die Erklärung entgegen Erwägungsgrund 42 Satz 5 DSGVO von der Klägerin unter Druck oder Zwang abgegeben worden wäre (vgl. Schulz, in: Gola, DS-GVO, 2. Aufl., Art. 7 Rn. 21). Das war hier indes nicht der Fall. Die Klägerin hatte ungeachtet des nachdrücklichen Werbens des Zeugin A. für den von ihm favorisierten E-Mail-Versand die Möglichkeit, auch ihm gegenüber auf einem Postversand zu bestehen. Sie musste sich der von ihm favorisierten Lösung nicht beugen. Wie sie im Rahmen ihrer informatorischen Anhörung durch den Senat bekundet hat, hatte der Zeuge, der überdies nicht mehr als ein erster Ansprechpartner der Beklagten in der Servicehotline war, den Postversand nicht per se ausgeschlossen. Er hatte nur darauf hingewiesen, dass dieser nicht mehr bis Weihnachten möglich sei. Den sich für die Klägerin aus den nahenden Weihnachtsfeiertagen ergebenden zeitlichen Druck kann sie der Beklagten jedoch nicht entgegenhalten. Diesen hatte sie selbst zu verantworten, weil sie nach dem Gespräch mit dem Versicherungsmakler am 27. November 2018 erst am 14. Dezember 2018 Kontakt zur Beklagten aufgenommen hatte. Es lässt sich auch nicht feststellen, dass die Erklärung des Zeugen A. zur Dauer des Postversands unzutreffend war. Aus dem späteren sehr kurzfristigen Postversand der Gesundheitsakte an die Klägerin ergibt sich nichts anderes. Dieser fand unter besonderen Umständen statt, weil er in die Zeit nach Bekanntwerden des Datenschutzverstoßes zulasten der Klägerin fiel. Es ist nicht auszuschließen, dass die Beklagte die Klägerin ab diesem Zeitpunkt zuvorkommend behandelt und ihre Abläufe beschleunigt hat.
(cc)
Der wirksamen Einwilligung der Klägerin steht ebenfalls nicht entgegen, dass sie diese nicht in informierter Weise erklärt hatte. Das Merkmal der Erklärung der Einwilligung in informierter Weise verlangt, dass die betroffene Person abschätzen können muss, welche Auswirkungen die Erteilung der Einwilligung für sie hat (Buchner/Kühling, in: dies., DS-GVO/BDSG, 3. Aufl., Art. 7 Rn. 59). Nach ihrer informatorischen Anhörung hat der Senat nicht die geringsten Zweifel, dass die Klägerin die Problematik und die Gefahren einer unverschlüsselten Versendung ihrer nicht pseudonymisierten Gesundheitsakte erkannt hat. Die Sensibilität der Klägerin für die Gefahren elektronischer Kommunikation wurde anhand ihrer Äußerungen im Rahmen ihrer informatorischen Anhörung sehr deutlich. Sie hat ihre Bedenken gegen die vom Zeugen A. vorgeschlagene Übermittlung, wie sie bekundet hat, schließlich aber zurückgestellt, weil ihr daran gelegen war, die Gesundheitsunterlagen bis Weihnachten zu erhalten.
(dd)
Soweit das Landgericht im Zuge seiner Prüfung des Art. 32 DSGVO angenommen hat, ein Verzicht auf ein verschlüsseltes Versenden von Daten sei nach der DSGVO nicht möglich, überzeugt das im Hinblick auf die von der Klägerin erklärte Einwilligung nicht. Die Einwilligung ist ein auf der privatautonomen Entscheidung des Betroffenen beruhender Rechtfertigungstatbestand. Es widerspräche der Privatautonomie, wenn die Einwilligung nicht zu einem Verzicht auf Anonymisierungs-, Pseudonymisierungs- sowie Verschlüsselungstechniken führen könnte (siehe auch Albers/Veit, in: Wolff/Brink, BeckOK Datenschutzrecht, 37. Ed., Stand: 01.05.2020, Art. 6 DS-GVO Rn. 26).
(c)
Zutreffend hat das Landgericht allerdings keinen Datenschutzverstoß in der E-Mail-Weiterleitung innerhalb der beklagten Krankenkasse gesehen, weil hierbei keine Einsichtnahme durch Dritte möglich war. Insoweit kann auf die diesbezüglich zutreffenden Gründe der angefochtenen Entscheidung Bezug genommen werden.
(5)
Infolge des in dem E-Mail-Versand an das falsche E-Mail-Postfach liegenden Verstoßes gegen die Vorschriften der DSGVO hat die Klägerin einen immateriellen Schaden erlitten. Als immaterieller Schaden der Klägerin stellt sich die mit dem Verlust der Datenkontrolle verbundene seelisch belastende Ungewissheit über das Schicksal ihrer Daten dar. Dafür, dass darin ein immaterieller Schaden im Sinne von Art. 82 Abs. 1 DSGVO liegen kann, spricht nicht nur Erwägungsgrund 75 der DSGVO, wo dem Schadensbegriff auch der Verlust der Kontrolle über personenbezogene Daten zugeordnet wird. Dafür spricht auch, dass in den meisten Rechtsordnungen mit dem Begriff des immateriellen Schadens Schäden wie seelisches Leid oder Beeinträchtigungen der Lebensqualität erfasst werden (siehe Schlussanträge des Generalanwalts N. Wahl vom 25. Juli 2018 in den verbundenen Rechtssachen C-138/17 P und C-146/17 P, juris, Rn. 83) und der Europäische Gerichtshof ein vergleichbares Schadensverständnis auch für das Unionsprimärrecht vertritt. Der Gerichtshof verlangt dort zwar, dass ein Schaden tatsächlich und sicher sein muss (EuGH, Urteil vom 4. April 2017 – C-337/15, juris, Rn. 91), andererseits kann bereits ein lang anhaltender Zustand belastender Ungewissheit einen immateriellen Schaden darstellen (vgl. z.B. EuGH, Urteil vom 13. Dezember 2018 – C-138/17 u.a., juris, Rn. 61; EuG, Urteil vom 17. Dezember 1998 – T-203/96, juris, Rn. 108).
Dahinstehen kann hier, ob Voraussetzung eines Schadensersatzanspruchs nach Art. 82 Abs. 1 DSGVO ist, dass der durch den Datenschutzverstoß entstandene immaterielle Schaden ein gewisses Gewicht erreicht haben muss (siehe OLG Dresden, Beschluss vom 11. Juni 2019 – 4 U 760/19, juris, Rn. 13; siehe dazu auch OGH Österreich, Vorlagebeschluss vom 15. April 2021 – 6 Ob 35/21x = BeckRS 2021, 11950). Der der Klägerin hier entstandene immaterielle Schaden hat ausreichendes Gewicht. Sie hat nicht nur einen Bagatellschaden erlitten, der gegebenenfalls keines Ausgleichs nach Art. 82 Abs. 1 DSGVO bedürfte. Angesichts des Umfangs und der Bedeutung der Daten, über welche die Klägerin über viele Monate die Kontrolle verloren hat, und angesichts der Sorgen und Befürchtungen, unter denen sie aufgrund des Datenverlusts in dieser Zeit gelitten hat, ist eine etwaige Bagatellschwelle zweifelsfrei überschritten. Insoweit ist zu berücksichtigen, dass die DSGVO Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DSGVO, wie sie hier betroffen sind, durch das grundsätzliche Verarbeitungsverbot in Art. 9 Abs. 1 DSGVO als besonders sensible Datenkategorie anerkennt. Es kommt hinzu, dass der hier betroffene Auszug aus der Gesundheitsakte der Klägerin nicht nur sehr umfangreich war, sondern auch höchst intime Gesundheitsinformationen enthielt.
bb)
In der Höhe ist der dem Grunde nach hier zu bejahende Schadensersatzanspruch der Klägerin aus Art. 82 Abs. 1 DSGVO allerdings auf einen Betrag von 2.000,- € begrenzt.
(1)
Für die Bemessung von Schadensersatzansprüchen nach Art. 82 Abs. 1 DSGVO enthält die DSGVO nur wenige Vorgaben. Aus dem Nebeneinander von materiellem und immateriellem Schaden folgt, dass auch solche Schäden auszugleichen sind, die sich nicht unmittelbar in Geld bemessen lassen. Nach Erwägungsgrund 146 Satz 3 sollte der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs zudem weit auf eine Art und Weise ausgelegt werden, die den Zielen der Verordnung in vollem Umfang entspricht. Nach Erwägungsgrund 146 Satz 6 sollten die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für erlittene Schäden erhalten.
Hiernach hat sich der Schadensersatz zuvörderst an dem Ziel des Schadensausgleichs zu orientieren. Das gilt, weil die Vorschrift nicht zwischen den Schadensarten differenziert, auch im Falle immaterieller Schäden (siehe Eichelberger, WRP 2021, 159, 162 ff.). Darüber hinaus wird bei immateriellen Einbußen auch die Genugtuungsfunktion Bedeutung erlangen und als ein Umstand bei der Schadensbemessung berücksichtigt werden können, wenn die Umstände des konkreten Falles hierfür Anlass geben (vgl. auch Eichelberger, WRP 2021, 159, 165). Letztlich können – wie dies auch bei Art. 340 Abs. 2 AEUV der Fall ist (vgl. EuGH, Urteil vom 30. Mai 2017 – C-45/15 P, juris, Rn. 48) – für die Bemessung des Ersatzanspruchs für immaterielle Schäden nur die Umstände des konkreten Einzelfalls entscheidend sein. Zu berücksichtigen sein können etwa Art, Schwere und Dauer des Datenschutzverstoßes, das Verhalten des Verantwortlichen sowie die Auswirkungen des Verstoßes für den Betroffenen (siehe EuGH, Urteil vom 30. Mai 2017 – C-45/15 P, juris, Rn. 52, zu Art. 340 Abs. 2 AEUV). Solche Kriterien sind nach Art. 83 Abs. 2 Satz 2 DSGVO auch bei der Verhängung von Geldbußen für Datenschutzverstöße zu berücksichtigen. Bei der Ermittlung der danach angemessenen Art der Entschädigung und der Bestimmung des gegebenenfalls zuzuerkennenden Schadensersatzbetrags haben die Gerichte einen erheblichen Spielraum (vgl. für Art. 340 Abs. 2 AEUV Schlussanträge des Generalanwalts N. Wahl vom 25. Juli 2018 in den verbundenen Rechtssachen C-138/17 P und C-146/17 P, juris, Rn. 86), den sie nach billigem Ermessen füllen müssen (siehe für Art. 340 Abs. 2 AEUV EuG, Urteil vom 1. Februar 2017 – T-479/14, juris, Rn. 135, sowie Schlussanträge des Generalanwalts N. Wahl vom 25. Juli 2018 in den verbundenen Rechtssachen C-138/17 P und C-146/17 P, juris, Rn. 85 u. 101).
(2)
Ausgehend hiervon sind hier jedenfalls die Kategorie der betroffenen personenbezogenen Daten, Art, Schwere und Dauer des Datenschutzverstoßes, die seelischen Auswirkungen bei der Klägerin, der Grad des Verschuldens, die ergriffenen Maßnahmen zur Minderung der Schadensfolgen sowie der Gesichtspunkt in den Blick zu nehmen, ob eine dauerhafte Beeinträchtigung der Herrschaft über die eigenen Daten und der seelischen Gesundheit verbleibt.
Die vorgenannten Umstände, insbesondere die psychischen Auswirkungen des Datenschutzverstoßes bei der Klägerin, sprechen in der Gesamtschau dafür, dass der ihr entstandene immaterielle Schaden nur durch eine Geldzahlung, nicht aber durch andere Maßnahmen wie etwa eine erklärte Entschuldigung vollständig ausgeglichen werden kann. Zum Ausgleich des immateriellen Schadens ist hier nach den Umständen des Falles ein Betrag von 2.000,- € angemessen, aber auch ausreichend.
(a)
Von besonderer Bedeutung für die Bestimmung des angemessenen Schadensersatzbetrags ist die Natur der vom Datenschutzverstoß betroffenen Daten der Klägerin. Es handelte sich dabei nicht nur um Gesundheitsdaten, die bereits für sich genommen von besonderer Sensibilität sind, wie auch ihr datenschutzrechtlicher, berufsrechtlicher und strafrechtlicher Schutz vor unbefugter Offenbarung zeigt. Die betroffenen Gesundheitsdaten waren auch besonders umfangreich. Sie betrafen – auf rund 100 Seiten – sämtliche bei der Beklagten erfassten ärztlichen und sonstigen medizinischen Behandlungen, Therapien und Medikationen der Klägerin aus dem Zeitraum vom 1. Januar 2015 bis zum 14. Dezember 2018 einschließlich der zugehörigen Diagnosen, Leistungszeiträume und Krankschreibungen. In dem Zeitraum hat die Klägerin, eine junge, noch nicht lange berufstätige Frau, wegen unterschiedlichster Beschwerden vielfach ärztliche Hilfe in Anspruch genommen. Dies gilt auch für den gynäkologischen Bereich. In der Gesundheitsakte waren gleich mehrere gynäkologische Befundangaben verzeichnet, die Rückschlüsse auf das Sexualleben und die sexuelle Orientierung der Klägerin zuließen, deren Name und Wohnanschrift in der Akte angegeben waren.
(b)
Hinsichtlich der vorgenannten Daten der Klägerin bestand ein zehnmonatiger Kontrollverlust. Erst am 14. August 2019 ist das E-Mail-Postfach, an das die Gesundheitsakte am 14. Dezember 2018 versehentlich versandt worden ist, von FFF. gelöscht worden.
(c)
Von der Löschung des fremden E-Mail-Postfachs erfuhr die Klägerin aber nicht sofort, sondern erst durch einen Schriftsatz der Beklagten vom 2. Dezember 2019 im landgerichtlichen Verfahren. Aus diesem erfuhr sie auch, dass das Postfach bis zu diesem Zeitpunkt nicht mehr eingesehen worden ist. Infolgedessen war sie über einen Zeitraum von rund einem Jahr darüber im Ungewissen, ob ein Dritter von ihren Gesundheitsdaten bereits Kenntnis genommen hatte oder dies noch tun würde.
Zwar hatte die Beklagte den Prozessbevollmächtigten der Klägerin bereits mit Schreiben vom 9. Januar 2019 mitgeteilt, von FFF. die Nachricht erhalten zu haben, dass seit der schon länger zurückliegenden Einrichtung des E-Mail-Postfachs darauf kein Zugriff mehr erfolgt ist. Die Klägerin konnte aber bis zur Löschung des Postfachs nicht sicher sein, dass nicht noch ein Zugriff erfolgen würde. Auch konnte sie ungeachtet eines von der Beklagten gegenüber dem Postfachinhaber per E-Mail ausgesprochenen Verwertungsverbots hinsichtlich der Gesundheitsakte nicht sicher sein, ob sich dieser daran halten würde.
Soweit die Klägerin im nicht nachgelassenen Schriftsatz vom 6. Oktober 2021 hingegen meint, die bestehende Ungewissheit sei für sie erst mit einem Schriftsatz der Beklagten vom 6. Juli 2020 beendet gewesen, mit welchem die Beklagte mitgeteilt habe, dass an das betreffende E-Mail-Postfach keine Test-E-Mail mehr erfolgreich habe versandt werden können, folgt der Senat dem nicht. Diese Test-E-Mail der Beklagten bestätigt nur die Löschung des E-Mail-Postfachs, für die bereits der Vermerk des Zeugen E. vom 14. August 2019 sprach, der dem Schriftsatz der Beklagten vom 2. Dezember 2019 beigefügt war.
Nicht gefolgt werden kann schließlich der Ansicht der Klägerin, die Unsicherheit bestünde für sie eigentlich bis heute fort, weil nicht ausgeschlossen werden könne, dass auf dem Übermittlungsweg auf die E-Mail zugegriffen worden sei. Die daraus resultierende Ungewissheit ist für die Bemessung des Schadensersatzbetrags unbeachtlich. Das Risiko des Zugriffs auf die E-Mail auf dem Übermittlungsweg nahm die Klägerin mit ihrer Einwilligung in die Übersendung der Gesundheitsakte per E-Mail in Kauf.
(d)
Der Datenschutzverstoß blieb für die Klägerin – auch dies ist für die Bemessung des Schadensersatzes von wesentlicher Bedeutung – nicht ohne psychische Folgen. Sie hat im Termin zur mündlichen Verhandlung vor dem Senat geschildert, wie sie die Ungewissheit über den Verbleib der Daten seelisch belastet hat. Dabei war die Belastung in den ersten Tagen nach dem 14. Dezember 2018 besonders hoch, als das Schicksal der Gesundheitsakte noch weitestgehend unklar war. Die Reaktion der Beklagten auf das Anliegen der Klägerin war am 17. Dezember 2018 und auch darüber hinaus zunächst schleppend, erst mit Schreiben vom 9. Januar 2019 teilte sie den Prozessbevollmächtigten der Klägerin, die am 20. Dezember 2018 mandatiert worden waren, den bis dahin ermittelten Sachstand geordnet mit. Immerhin konnte sich die Klägerin mit Erhalt dieses Schreibens vom 9. Januar 2019 schwache Hoffnungen machen, dass der Inhalt ihrer Gesundheitsakte vielleicht doch nicht von unbefugten Dritten zur Kenntnis genommen werden würde. Nach den von der Beklagten bis dahin eingeholten Erkundigungen, deren Ergebnis sie mit dem Schreiben mitteilte, war das E-Mail-Postfach seit Errichtung nicht aktiv genutzt worden.
(e)
Bei der Bemessung des Schadensersatzes ist ferner der Umstand zu berücksichtigen, dass der fehlerhafte Versand auf einem lediglich fahrlässigen Verhalten des Zeugen A. beruhte. Die Beklagte war nach dem Ergebnis der landgerichtlichen Beweisaufnahme zudem bemüht, die verlorenen Daten zurückzuerlangen beziehungsweise deren Weiterverbreitung zu verhindern. Im Schreiben vom 9. Januar 2019 hat sie auch ihr Bedauern über den Vorfall zum Ausdruck gebracht. Allerdings hat sie einen Schadensersatzanspruch der Klägerin im Prozess gleichwohl bis zuletzt in Abrede gestellt.
(f)
In der Höhe begrenzend wirkt sich bei der Bemessung des Schadensersatzanspruchs schließlich in besonderem Maße aus, dass es bei einem zeitweisen Kontrollverlust über die Gesundheitsdaten verblieben ist. Zu einer Kenntnisnahme der Daten durch Dritte oder einer Weiterverbreitung oder gar Veröffentlichung ist es nicht gekommen. Die fehlgeleitete E-Mail und ihr Anhang sind bis zur Löschung des E-Mail-Postfachs am 14. August 2019 vom Postfachinhaber nicht mehr zur Kenntnis genommen worden. Die berechtigten Sorgen der Klägerin haben sich letztlich als unbegründet herausgestellt. Nachdem sie hiervon erfahren hatte, bestand auch kein Anlass, sich deswegen noch länger seelisch belastet zu fühlen. Eine etwaige Einsichtnahme in die Daten auf dem Übermittlungsweg, für die im Übrigen nichts spricht, hat aus dem bereits dargelegten Grund unberücksichtigt zu bleiben.
(g)
Der Senat hat schließlich keinen Anlass, den Schadensersatzbetrag im Hinblick auf eine damit zu erzielende abschreckende Wirkung gesondert zu erhöhen. Ob einem nach Art. 82 Abs. 1 DSGVO zuzusprechenden Schadensersatzbetrag per se eine abschreckende Wirkung zukommen muss, wie teilweise vertreten wird, hält der Senat für zweifelhaft (wie hier Eichelberger, WRP 2021, 159, 163). Letztlich kann dies hier aber dahinstehen, weil dem der Klägerin zugesprochenen Schadensersatzbetrag jedenfalls auch eine ausreichend präventive Wirkung zukommt.
cc)
Eine Minderung des Schadensersatzbetrags nach § 254 Abs. 1 BGB, für welche die Beklagte plädiert, kommt nach den für den Senat bindenden tatsächlichen Feststellungen des Landgerichts nicht in Betracht. Die Beklagte kann mit ihrem erstmals in der Berufungsinstanz gehaltenen Sachvortrag, die Klägerin habe dem Zeugin A. die falsche E-Mail-Adresse angegeben, gemäß § 531 Abs. 2 Satz 1 Nr. 3 ZPO nicht mehr gehört werden. Es beruht auf Nachlässigkeit, dass die Beklagte diesen Vortrag nicht schon in erster Instanz gehalten hat. Auch darüber hinaus bestehen keine ausreichenden Anhaltspunkte, die ein relevantes Mitverschulden der Klägerin an dem fehlerhaften E-Mail-Versand an die falsche E-Mail-Adresse begründen könnten.
c)
Über den zugesprochenen Schadensersatzbetrag von 2.000,- € hinausgehende Ansprüche der Klägerin aus anderen Anspruchsgrundlagen, die neben Art. 82 Abs. 1 DSGVO einschlägig sein können, etwa aus Amtshaftung, bestehen hier nicht.
d)
Die der Klägerin vom Landgericht zugesprochene Zinsforderung aus dem Betrag von 2.000,- € ist aus §§ 286 Abs. 1 Satz 1, 288 Abs. 1 BGB begründet.
2.
Erfolg hat die Berufung der Beklagten, soweit sie sich gegen den vom Landgericht bejahten und tenorierten Feststellungsanspruch der Klägerin wendet. Der von der Klägerin verfolgte Feststellungsantrag ist bereits unzulässig.
a)
Der Klägerin fehlt das für den Feststellungsantrag gemäß § 256 Abs. 1 ZPO erforderliche Feststellungsinteresse, soweit sie sich für ihren Antrag auf den Versand der E-Mail an das falsche E-Mail-Postfach stützt. Ein Feststellungsinteresse ist zu verneinen, wenn aus der Sicht des Geschädigten bei verständiger Würdigung kein Grund gegeben ist, mit dem Eintritt eines Schadens wenigstens zu rechnen (BGH, Urteil vom 9. Januar 2007 – VI ZR 133/06, juris, Rn. 5). So liegt es hier. Es steht aufgrund des Ergebnisses der landgerichtlichen Beweisaufnahme für den Senat bindend fest, dass der zeitweilige Inhaber des E-Mail-Postfachs „
Soweit die Klägerin hiergegen im nicht nachgelassenen Schriftsatz vom 12. Oktober 2021 auf die Entscheidung des Bundesgerichtshofs vom 17. Oktober 2017 – VI ZR 423/16 – verweist, behandelt diese die hier nicht einschlägige Frage, ob eine Feststellungsklage auf der Begründetheitsebene voraussetzt, dass eine bestimmte Schadenswahrscheinlichkeit besteht. Darum geht es hier – noch auf der Zulässigkeitsebene – nicht.
b)
Soweit sich die Klägerin zur Begründung der Zulässigkeit des Feststellungsantrags schließlich darauf beruft, dass Dritte schon während des Übermittlungsvorgangs der E-Mail von den Gesundheitsdaten Kenntnis genommen haben könnten, hält der Senat dafür, dass auch insoweit ein Feststellungsinteresse fehlt. Auch insoweit ist – bald drei Jahre nach dem betreffenden Vorfall – aus Sicht der Klägerin bei verständiger Würdigung kein Grund mehr gegeben, mit dem Eintritt eines Schadens wenigstens noch zu rechnen. Vielmehr wäre zu erwarten gewesen, dass die Gesundheitsdaten, wenn sie während des Übermittlungsvorgangs tatsächlich abgegriffen worden wären, längst irgendwo aufgetaucht wären.
Bejahte man dessen ungeachtet ein Feststellungsinteresse, so wäre der Feststellungsantrag jedenfalls unbegründet. In den ungeschützten Übermittlungsvorgang als solchen hatte die Klägerin eingewilligt. Ein Datenschutzverstoß der Beklagten ist insoweit zu verneinen.
3.
Teilweise Erfolg hat die Berufung der Beklagten, soweit sie sich gegen den zugunsten der Klägerin tenorierten Freistellungsanspruch wendet. Die diesbezügliche Berufung der Klägerin ist hingegen unbegründet. Der von der Klägerin verfolgte Freistellungsanspruch hinsichtlich außergerichtlicher Rechtsanwaltskosten ist weder in der von ihr begehrten Höhe von insgesamt 1.029,35 € noch in der vom Landgericht zugesprochenen Höhe von 413,64 €, sondern nur in Höhe von 255,85 € gerechtfertigt.
Ein Freistellungsanspruch der Klägerin hinsichtlich außergerichtlicher Rechtsverfolgungskosten ergibt sich dem Grunde nach aus Art. 82 Abs. 1 DSGVO i.V.m. § 249 BGB (vgl. auch LG Darmstadt, Urteil vom 26. Mai 2020 – 13 O 244/19, juris, Rn. 72). Bei einem Schadensersatzanspruch der Klägerin in Höhe von 2.000,- € sind die erforderlichen Rechtsverfolgungskosten allerdings nur aus diesem Betrag zu berechnen und nicht aus dem vom Landgericht zugrunde gelegten Betrag von 4.000,- €.
III.
Die für beide Instanzen zu treffende Kostenentscheidung beruht auf § 92 Abs. 1 Satz 1 ZPO und orientiert sich am Verhältnis des Unterliegens und Obsiegens der Parteien. Die Entscheidung über die vorläufige Vollstreckbarkeit beruht auf §§ 708 Nr. 10, 711, 713 ZPO.
Ein Grund zur Zulassung der Revision besteht nicht. Die Voraussetzungen des § 543 Abs. 2 ZPO liegen nicht vor. Weder hat die Rechtssache grundsätzliche Bedeutung noch erfordern die Fortbildung des Rechts oder die Sicherung einer einheitlichen Rechtsprechung eine Entscheidung des Revisionsgerichts. Es handelt sich um eine Einzelfallentscheidung, im Rahmen derer keine in Rechtsprechung und Literatur streitigen Rechtsanwendungs- und Auslegungsfragen geklärt werden mussten.
IV.
Die nicht nachgelassenen Schriftsätze der Parteien hat der Senat zur Kenntnis genommen. Sie geben zu einer anderen rechtlichen Bewertung oder Wiedereröffnung der mündlichen Verhandlung keinen Anlass.
V.
Der Streitwert wird für beide Instanzen, in teilweiser Abänderung der landgerichtlichen Festsetzung im Beschluss vom 12. August 2020, auf 16.500,- € (Schmerzensgeldantrag: 15.000,- €, Feststellungsantrag: 1.500,- €) festgesetzt.
