Skip to main content

Verstoß: Unerlaubte Datenweiterleitung von Gesundheitsdaten

  • Beschreibung
    Durch ein Versehen wurden die Arztrechnungen des Klägers von der Beihilfestelle an einen Dritten versendet.
  • Aktenzeichen
    VG Köln, Urteil vom 23.02.2023 - 13 K 278/21
  • Kategorie(n)
  • Betrag
    1000 €

Tenor:

Die Beklagte wird verurteilt, an den Kläger 1.000,00 Euro nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 24. Juli 2019 zu zahlen.

Weiter wird die Beklagte verurteilt, an den Kläger 81,68 Euro nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 22. Oktober 2020 zu zahlen.

Im Übrigen wird die Klage abgewiesen.

Die Kosten des Verfahrens tragen der Kläger zu 2/3 und die Beklagte zu 1/3.

Das Urteil ist vorläufig vollstreckbar. Der jeweilige Vollstreckungsschuldner kann die Vollstreckung gegen Sicherheitsleistung in Höhe von 110 % des aufgrund des Urteils vollstreckbaren Betrags abwenden, wenn nicht der jeweilige Vollstreckungsgläubiger vor der Vollstreckung Sicherheit in Höhe von 110 % des jeweils zu vollstreckenden Betrags leistet.

Die Berufung wird zugelassen.

 

Tatbestand

Die Beteiligten streiten über die Höhe eines Schadensersatzanspruches nach Art. 82 Abs. 1 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung – DSGVO –).

Der Kläger war Bundesbeamter. Am 23. März 2019 beantragte er bei dem Bundesverwaltungsamt der Beklagten Beihilfe unter der Beifügung von 13 Belegkopien. Hierauf erließ das Bundesverwaltungsamt unter dem 29. März 2019 einen Beihilfebescheid. Mit dem Bescheid erhielt der Kläger nicht die von ihm zuvor eingereichten Belege, sondern die eines Dritten zurück. Die vom Kläger eingereichten Belege waren ihrerseits aufgrund eines Büroversehens des Bundesverwaltungsamtes an den Dritten versendet worden. Nachdem das Bundesverwaltungsamt die Belege vom Dritten zurückgefordert hatte, übersandte es diese an den Kläger. Die Beihilfebelege des Klägers umfassten neun Rechnungen und Liquidationen verschiedener Fachärzte aus dem Jahr 2019 unter Auflistung der einzelnen Leistungen und zum Teil unter der Benennung von Diagnosen sowie vier Rezepte für Medikamente.

Mit Schreiben vom 9. Juli 2019 machte der Kläger gegenüber dem Bundesverwaltungsamt einen Schadensersatzanspruch gemäß Art. 82 DSGVO geltend und forderte das Bundesverwaltungsamt auf, bis zum 23. Juli 2021 den Anspruch dem Grunde nach anzuerkennen und ihm auf das zu erwartende Schmerzensgeld eine Zahlung in Höhe von 1.000 Euro zu leisten. Mit Schreiben 8. November 2019 erneuerte der Kläger sein Verlangen mit Fristsetzung bis zum 29. November 2019. Eine Reaktion des Bundesverwaltungsamtes hierauf erfolgte nicht.

Der Kläger hat am 15. Mai 2020 vor dem Amtsgericht Düsseldorf Klage erhoben, die dem Beklagten am 21. Oktober 2020 zugestellt worden ist. Mit Beschluss vom 2. Dezember 2020 hat das Amtsgericht Düsseldorf den Rechtsweg zu den ordentlichen Gerichten für unzulässig erklärt und das Verfahren an das erkennende Gericht verwiesen.

Der Kläger ist der Ansicht, ihm stehe aufgrund des Fehlversandes seiner Beihilfebelege an den Dritten ein Anspruch auf Schmerzensgeld nach Art. 82 Abs. 1 DSGVO zu. Der Fehlversand stelle einen schwerwiegenden Verstoß gegen die DSGVO dar. Die Arztrechnungen enthielten Berichte und Diagnosen, welche Rückschlüsse auf seinen Gesundheitszustand und seine Krankheitsbilder ermöglichten. Die Daten seien besonders sensibel. Das Bundesverwaltungsamt habe den Fehlversand auch zu verschulden. Dieser verletze sein allgemeines Persönlichkeitsrecht und sein Recht auf informationelle Selbstbestimmung. Ein Schmerzensgeld in Höhe von 3.000 Euro sei angemessen.

Der Kläger beantragt,

              die Beklagte zu verurteilen, an ihn ein angemessenes Schmerzensgeld, dessen Höhe in das Ermessen des Gerichts gestellt wird, nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit dem 24. Juli 2019 zu zahlen,

weiter die Beklagte zu verurteilen, an den Kläger außergerichtliche Anwaltsgebühren in Höhe von 179,27 Euro nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz seit Rechtshängigkeit zu bezahlen.

Die Beklagte beantragt,

              die Klage abzuweisen.

Der Kläger habe einen immateriellen Schadensposten nicht hinreichend dargetan. Davon abgesehen müsse bei der Bemessung des Schmerzensgelds berücksichtigt werden, dass die Verwechslung der Beihilfeunterlagen ein einmaliger Ausnahmefall gewesen sei. Dem Bundesverwaltungsamt falle allenfalls leichte Fahrlässigkeit zur Last, da es sich um menschliches Augenblicksversagen im Rahmen der Massenverwaltung gehandelt habe. Für die Zukunft seien gleichgelagerte Sachverhalte ausgeschlossen; das Bundesverwaltungsamt habe seine Abläufe dahin umgestellt, dass die Beihilfebelege nicht mehr zurückgesandt, sondern datenschutzkonform vernichtet würden. Nachdem die Verwechslung bemerkt worden sei, habe das Bundesverwaltungsamt die Beihilfebelege unverzüglich von dem Dritten zurückgefordert und sodann dem Kläger zurückgegeben. Der Kläger sei über die Verwechslung umfassend informiert worden. Auch der behördliche Datenschutzbeauftragte sei über den Vorgang informiert worden. Schließlich sei zu berücksichtigen, dass die Daten des Klägers bloß einer einzelnen, dem Kläger unbekannten Person bekannt geworden seien. Von den Daten habe weder ein größerer Empfängerkreis noch sein persönliches Umfeld erfahren.

Die Beklagte ist der Ansicht, unter welchen Voraussetzungen und in welchem Umfang ein Geldentschädigungsanspruch nach Art. 82 Abs. 1 DSGVO angenommen werden könne, sei bislang allgemein offen. Sie regt eine Vorlage des Falls an den Europäischen Gerichtshof oder jedenfalls eine Aussetzung des Verfahrens an. Insbesondere sei fraglich, wie der Schadensbegriff nach Art. 82 Abs. 1 DSGVO zu verstehen sei und welche Darlegungsanforderungen insoweit gelten würden.

Die Beteiligten haben auf die Durchführung einer mündlichen Verhandlung verzichtet.

Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf den Inhalt der Gerichtsakte sowie die beigezogenen Verwaltungsvorgänge der Beklagten Bezug genommen.

Entscheidungsgründe

Die Klage, über welche das Gericht gemäß § 101 Abs. 2 der Verwaltungsgerichtsordnung (VwGO) im Einverständnis der Beteiligten ohne mündliche Verhandlung entscheiden konnte, hat nur teilweise Erfolg.

I.

Die Klage ist zulässig. Das Gericht ist hinsichtlich des Rechtswegs an den Verweisungsbeschluss des Amtsgerichts Düsseldorf vom 2. Dezember 2020 gebunden, § 17a Abs. 2 Satz 3 Gerichtsverfassungsgesetz (GVG). Dieser Beschluss ist auch nicht offensichtlich unrichtig oder entbehrt jeder rechtlichen Grundlage, vgl. Bundesverwaltungsgericht (BVerwG), Beschluss vom 17. März 2010 - 7 AV 1.10 -, juris Rn. 7; Bundesarbeitsgericht (BAG), Beschluss vom 4. Januar 1993 - 5 AS 12/92 -, juris Rn. 12.

Das Gericht ist zwar der Auffassung, dass der Rechtsweg zu den Verwaltungsgerichten im vorliegenden Fall nicht eröffnet ist. Gemäß § 40 Abs. 1 Satz 1 VwGO ist der Verwaltungsrechtsweg in allen öffentlich-rechtlichen Streitigkeiten nichtverfassungsrechtlicher Art gegeben, soweit die Streitigkeiten nicht durch Bundesgesetz einem anderen Gericht ausdrücklich zugewiesen sind. Für vermögensrechtliche Ansprüche aus Aufopferung für das gemeine Wohl und aus öffentlich-rechtlicher Verwahrung sowie für Schadensersatzansprüche aus der Verletzung öffentlich-rechtlicher Pflichten, die nicht auf einem öffentlich-rechtlichen Vertrag beruhen, ist der ordentliche Rechtsweg gegeben, § 40 Abs. 2 Satz 1 1. Halbsatz VwGO. Vorliegend geht es um Ansprüche auf Schadensersatz, wofür der Zivilrechtsweg eröffnet ist.

Eine Zuständigkeit der Verwaltungsgerichte folgt auch nicht aus Art. 82 Abs. 6 i.V.m. Art. 79 Abs. 2 DSGVO. Art. 82 Abs. 6 DSGVO verweist hinsichtlich der Zuständigkeit auf Art. 79 Abs. 2 DSGVO. Hiernach sind für Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeiter die Gerichte des Mitgliedstaats zuständig, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat (Satz 1). Wahlweise können solche Klagen auch bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren gewöhnlichen Aufenthaltsort hat, es sei denn, es handelt sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist (Satz 2). Die Vorschrift regelt jedoch nur die internationale respektive örtliche Zuständigkeit. Die weitere (innerstaatliche) Zuständigkeit ergibt sich aus dem nationalen Recht. Dies folgt zum einen aus den Begriffen der „Niederlassung“ bzw. des „gewöhnlichen Aufenthaltsorts“, die keinerlei Hinweis auf eine sachliche Zuständigkeit bzw. Rechtswegzuständigkeit geben und zum anderen aus dem Zusammenhang mit § 44 Abs. 1 und 2 Bundesdatenschutzgesetz (BDSG). Die Vorschrift überträgt die Regelungen zur internationalen Zuständigkeit eins zu eins auf die innerstaatliche örtliche Zuständigkeit für zivilrechtliche Klagen. Dies war zur Durchführung von Art. 79 Abs. 2 DSGVO notwendig, damit die vom Betroffenen getroffene Wahl hinsichtlich des Klageorts auch innerstaatlich ermöglicht wird. Dieser betrifft ebenfalls allein die örtliche Zuständigkeit. Im Falle einer Klage gegen eine Behörde, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist, richtet sich die örtliche Zuständigkeit, mangels Anwendbarkeit des § 44 BDSG (vgl. § 44 Abs. 2 BDSG) nach den Verfahrensvorschriften der Fachgerichte. Eine sachliche Zuständigkeit oder gar eine Rechtswegzuweisung liegt darin jedoch nicht, vgl. Quaas, in: Wolff/Brink, BeckOK Datenschutz, 42. Edition, Stand: 1. August 2022, Art. 82 Rn 46 ff.; Nemitz, in: Ehmann/Selmayr, DSGVO 2. Auflage 2018, Art. 82 Rn. 32; Franzen, in: ders./Gallner/Oetker, Kommentar zum europäischen Arbeitsrecht, 4. Aufl. 2022, Art. 82 EU (VO) 2016/679 Rn. 26; konkret zu § 44 Abs. 2 BDSG die BTDrucks 18/11325 vom 24. Februar 2017, S. 110; a. A. Frenzel, in: Paal/Pauly, DSGVO, BDSG, 3. Aufl. 2021, Art. 82 Rn. 18; umstritten ist im Übrigen, ob schon Art. 34 Satz 3 GG eingreift, dafür Hessisches Landessozialgericht (LSG Hessen), Beschluss vom 26. Januar 2022 - L 6 SF 7/21 DS -, juris Rn. 22 ff.; dagegen Bundesfinanzhof (BFH), Beschluss vom 28. Juni 2022 - II B 93/21 -, juris Rn. 12 ff.

Die Zuständigkeit der Verwaltungsgerichte folgt auch nicht aus dem Umstand, dass diese für Klagen nach Art. 79 Abs. 1 DSGVO betreffend behördliche Verstöße gegen die Datenschutzgrundverordnung gem. § 40 Abs. 1 Satz 1 VwGO als öffentlich- rechtliche Streitigkeit (innerstaatlich) zuständig sind. Die dazu vertretene Ansicht, die als Konsequenz des Art. 82 Abs. 6 DSGVO dieselbe (innerstaatliche) gerichtliche Zuständigkeit für das Recht auf Schadensersatz wie für alle anderen Ansprüche gegen den Verantwortlichen oder Auftragsverarbeiter sieht, überzeugt nicht, vgl. Boehm, in Simitis/Hornung/Spiecker, DSGVO, 1. Aufl. 2019, Art. 82 Rn. 37.

Der Verweis des Art. 82 Abs. 6 DSGVO auf Art. 79 Abs. 2 DSGVO erfasst nur die (der innerstaatlichen Zuständigkeit vorgelagerten) Frage der Zuständigkeit des Mitgliedstaates, die von Art. 79 Abs. 2 DSGVO geregelt wird. Nach Art. 82 Abs. 6 DSGVO sind die Gerichte mit Gerichtsverfahren zur Inanspruchnahme des Rechts auf Schadenersatz zu befassen, die nach den in Art. 79 Abs. 2 DSGVO genannten Rechtsvorschriften des Mitgliedstaats zuständig sind. Die (innerstaatliche) Zuständigkeit richtet sich demnach nach dem Recht des Mitgliedstaats, dessen Gerichte nach Art. 79 Abs. 2 DGSVO zuständig sind. Dies folgt klar aus der englischen Fassung der DSGVO, in der es heißt: „Court proceedings for exercising the right to receive compensation shall be brought before the courts competent under the law of the Member State referred to in Article 79 (2)“, Art. 82 (6) GDPR. Ein weiterer Inhalt, wonach der Verweis in Art. 82 Abs. 6 DSGVO verhindern solle, dass verschiedene Gerichte über den Verstoß gegen die DSGVO als solche und über den Schadensersatz entscheiden, ist daraus nicht zu entnehmen. Vielmehr ist es der deutschen Rechtsordnung nicht fremd, dass derselbe Sachverhalt vor unterschiedlichen Gerichten beurteilt wird.

Art. 82 Abs. 2, Art. 79 Abs. 2 DSGVO bestimmen demnach allein welcher Mitgliedstaat zuständig ist und mithin welche nationale Rechtsordnung Anwendung findet.

Offensichtlich unrichtig oder jeder rechtlichen Grundlage entbehrend ist der Beschluss des Amtsgerichts Düsseldorf jedoch nicht. Die umstrittene Frage des Rechtswegs für Klagen nach Art. 82 DSGVO gegenüber Behörden ist in der Rechtsprechung noch nicht hinreichend geklärt. Der Rechtsstreit hat ohne Zweifel auch Bezüge zum öffentlichen Recht; der streitgegenständliche Schadensersatzanspruch richtet sich gegen das Bundesverwaltungsamt, welches bei der möglichen Schadensentstehung in Ausübung seiner hoheitlichen Befugnisse tätig geworden ist, vgl. Nemitz, a.a.O., Art. 79 Rn. 4 f.

II.

Die Klage ist nur teilweise begründet.

Dem Kläger steht gegenüber der Beklagten ein Anspruch auf Zahlung eines Schmerzensgeldes in Höhe von 1.000 Euro zu.

Grundlage dieses Anspruchs ist Art. 82 Abs. 1, Abs. 2 Satz 1, Abs. 3 DSGVO. Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die Datenschutz-Grundverordnung ein materieller oder immaterieller Schaden entstanden ist, u.a. gegen den Verantwortlichen einen Anspruch auf Schadenersatz. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde, Art. 82 Abs. 2 Satz 1 DSGVO. Der Verantwortliche wird von der Haftung befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, Art. 82 Abs. 3 DSGVO.

Diese Voraussetzungen sind vorliegend gegeben. Der Kläger ist als „jede Person“ anspruchsberechtigt und das Bundesverwaltungsamt der Beklagten als „Verantwortlicher“ anspruchsverpflichtet. Verantwortlicher ist nach Art. 4 Nr. 7 Halbsatz 1 DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Die Beihilfebelege des Klägers enthalten Informationen über den Kläger und damit personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO. Diese Daten hat das Bundesverwaltungsamt im Sinne von Art. 4 Nr. 2 DSGVO verarbeitet und dabei hinsichtlich der Zwecke und Mittel eigenverantwortliche Entscheidungen getroffen.

Das Bundesverwaltungsamt hat bei der Verarbeitung der personenbezogenen Daten des Klägers jedenfalls gegen Art. 9 Abs. 1 DSGVO verstoßen. Bei den Beihilfebelegen handelt es sich nicht nur um (einfache) personenbezogene Daten, sondern um besonders sensible Gesundheitsdaten im Sinne von Art. 4 Nr. 15, Art. 9 Abs. 1 DSGVO. Die Versendung dieser Gesundheitsdaten an einen Dritten war gesetzlich verboten. Ein Ausnahmegrund liegt nicht vor; insbesondere hat der Kläger in die Versendung nicht ausdrücklich eingewilligt, Art. 9 Abs. 2 lit. a DSGVO.

Wegen dieses Verstoßes ist dem Kläger ein immaterieller Schaden entstanden. Art. 82 Abs. 1 DSGVO erfasst ausdrücklich nicht nur materielle, sondern auch immaterielle Schäden. Der Schadensbegriff ist – wie sich aus Erwägungsgrund 146 Satz 3 der DSGVO ergibt – weit auszulegen. Als Beispiele für Schäden benennt Erwägungsgrund 75 DSGVO Diskriminierung, Identitätsdiebstahl oder -betrug, finanziellen Verlust, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, unbefugte Aufhebung der Pseudonymisierung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile. Zudem ist die Verarbeitung von personenbezogenen Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen oder religiöse oder weltanschauliche Überzeugungen hervorgehen, sowie von genetischen Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen betreffenden Daten als ein Schaden anzusehen.

Die – zwischen den Beteiligten mittlerweile unstreitige – unzulässige Versendung der Beihilfebelege des Klägers an den Dritten begründet einen immateriellen Schaden. Das entspricht dem weiten Schadensverständnis des europäischen Gesetzgebers und deckt sich mit den Wertungen des Erwägungsgrunds 75 der DSGVO. Dass der Kläger diesen Schaden vorliegend nicht näher spezifiziert hat, ist unerheblich. Die ihm entstandenen Nachteile sind offenkundig und bedürfen keiner genaueren Erläuterung. So liegt ein immaterieller Schaden bereits darin begründet, dass der Dritte aufgrund des Fehlversands durch Bundesverwaltungsamt zwangsläufig einen Einblick in die Beihilfebelege des Klägers genommen hat. Diese Gesundheitsdaten erfahren nach Art. 9 Abs. 1 DSGVO einen besonderen Schutz. Sie enthalten Informationen über die engere Privatsphäre bis zur Intimsphäre des Klägers. Ihre Offenbarung gegenüber dem Dritten führt bei dem Betroffenen zu einem Verlust an Vertraulichkeit und einer Bloßstellung, vgl. Nemitz, a.a.O., Art. 82 Rn. 13.

Dass die Offenbarung gegenüber einer einzelnen, dem Kläger bislang unbekannten Person erfolgte, steht der Annahme einer Bloßstellung nicht entgegen. Hinzu kommt das der Kenntnisgabe immanente Risiko, dass der Dritte die sensiblen Daten zum Nachteil des Klägers weiterverbreitet.

Die Beklagte hat auch nicht nachgewiesen, dass das Bundesverwaltungsamt für die Umstände des Schadenseintritt in keinerlei Hinsicht verantwortlich gewesen ist, Art. 82 Abs. 3 DS-GVO. Der Fehlversand der Beihilfebelege des Klägers beruhte vielmehr auf einem Büroversehen innerhalb der Poststelle des Bundesverwaltungsamtes und damit auf Fahrlässigkeit. Diese Fahrlässigkeit des handelnden Mitarbeiters muss sich die Beklagte zurechnen lassen, vgl. Quaas, a.a.O., Art. 82 Rn. 18 f. m.w.N.

Inwiefern Art. 82 Abs. 1 DSGVO darüber hinaus voraussetzt, dass der Schaden eine Bagatell- oder Erheblichkeitsschwelle überschreitet, vgl. dazu Bundesverfassungsgericht (BVerfG), Beschluss vom 14. Januar 2021 - 1 BvR 2853/19 -, juris Rn. 19 f.; Landgericht (LG) LG Saarbrücken, EuGH-Vorlage vom 22. November 2021 - 5 O 151/19 -, juris Rn. 46 ff. (Vorlagefrage 1); dafür Oberlandesgericht (OLG) Dresden, Urteil vom 30. November 2021 - 4 U 1158/21 -, juris Rn. 11; Frenzel, a.a.O., Art. 82 Rn. 10; Franzen, a.a.O., Art. 82 Rn. 22; dagegen OLG Frankfurt, Urteil vom 2. März 2022 - 13 U 206/20 -, juris Rn. 59 ff.; LG Düsseldorf, Urteil vom 28. Oktober 2021 - 16 O 128/20 -, juris Rn. 37; LG München I, Urteil vom 09. Dezember 2021 - 31 O 16606/20 -, juris Rn 40; Quaas, a.a.O., Art. 82 Rn. 25 ff.; Buchner/Wessels, ZD 2022, 251, 254, jeweils auch m.w.N., bedarf vorliegend keiner Entscheidung. Denn der immaterielle Schaden des Klägers stellt sich als erheblich dar. Die Beeinträchtigungen des Klägers gehen über ein bloß ungutes Gefühl bzw. das diffuse Gefühl eines Kontrollverlustes hinaus. Die Beihilfebelege geben Auskunft über zahlreiche Arzttermine des Klägers im ersten Quartal des Jahres 2019 in verschiedenen medizinischen Fachrichtungen. Sie ermöglichen einen weitreichenden Einblick in die Krankheitsbilder des Klägers, welche aus den auf den Arztrechnungen festgehaltenen Leistungen und den Diagnosen, die sowohl den psychischen als auch den physischen Bereich betreffen, abgeleitet werden können. Das Wissen über die Gesundheitsdaten des Klägers könnte von dem Dritten leicht dazu genutzt werden, den Kläger in seinem beruflichen, gesellschaftlichen oder privaten Umfeld zu diskreditieren; dies gilt insbesondere hinsichtlich der psychiatrischen Behandlung des Klägers Anfang März 2019.

Bezüglich der Höhe des immateriellen Schadens hält das Gericht einen Betrag von 1.000,00 Euro für angemessen, aber auch ausreichend. Die Ermittlung der Schadenshöhe obliegt dem Gericht – mangels einschlägiger unionsrechtlicher Vorschriften – nach § 173 Satz 1 Halbsatz 1 VwGO i.V.m. § 287 Abs. 1 Satz 1 ZPO. Das Gericht hat über die Schadenshöhe unter Würdigung aller Umstände nach freier Überzeugung zu entscheiden, vgl. BAG, Urteil vom 05. Mai 2022 - 2 AZR 363/21 -, juris Rn. 12 ff.; Quaas, a.a.O., Art. 82 Rn. 31.

Nach Erwägungsgrund 146 Satz 6 DSGVO sollen die betroffenen Personen im Rahmen des Art. 82 Abs. 1 DSGVO einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. Die Höhe des immateriellen Schadensersatzes muss sich an dessen Funktionen orientieren, nämlich vor allem der Ausgleichsfunktion und der Genugtuungsfunktion. Die Frage, ob dem Schadensersatzanspruch darüber hinaus eine Abschreckungsfunktion zukommt, ist durch das Bundesarbeitsgericht dem Europäischen Gerichtshof zur Vorabentscheidung vorgelegt worden, vgl. Nemitz, a.a.O., Art. 82 Rn. 18; OLG Koblenz, Urteil vom 18. Mai 2022 - 5 U 2141/21 -, juris Rn. 82 ff.; speziell zur Frage der Abschreckungsfunktion BAG, EuGH-Vorlage vom 26. August 2021 - 8 AZR 253/20 (A) -, juris Rn. 32 ff. (Vorlagefrage 4).

Für die Bemessung des immateriellen Schadensersatzes können die Kriterien des Art. 83 Abs. 2 DSGVO herangezogen werden. Dazu gehören unter anderem die Art, Schwere und Dauer des Verstoßes, die Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes, jegliche von dem Verantwortlichen getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, etwaige einschlägige frühere Verstöße des Verantwortlichen, der Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern, die Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind sowie jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, vgl. LG Saarbrücken, Beschluss vom 22. November 2021 - 5 O 151/19 -, juris Rn. 30 ff. (Vorlagefrage 3); wie hier LG Köln, Urteil vom 18. Mai 2022 - 28 O 328/21 -, juris Rn. 34; LG Essen, Urteil vom 23. September 2021 - 6 O 190/21 -, juris Rn. 52; Quaas, a.a.O., Art. 82 Rn. 31; Paal/Aliprandi, ZD 2021, 241, 246.

Unter Abwägung der maßgeblichen Gesichtspunkte erachtet das Gericht eine Schadensersatzzahlung in Höhe von 1.000,00 Euro für angemessen und ausreichend. Dieser Geldbetrag schafft Ausgleich für den erlittenen immateriellen Schaden des Klägers. Der Betrag berücksichtigt zu Lasten der Beklagten, dass es sich bei den fehlversendeten Daten um besonders sensible Gesundheitsdaten des Klägers im Sinne von Art. 9 Abs. 1 DSGVO gehandelt hat. Insofern wiegt der Verstoß besonders schwer. Ein Mitverschulden fällt dem Kläger nicht zur Last. Allerdings ist mildernd zu berücksichtigen, dass die Daten aufgrund des Fehlversands lediglich einer einzelnen dem Kläger unbekannten Person offengelegt worden sind. Dafür, dass die Daten darüber hinaus weiteren Personen bekannt gemacht worden sind, ist nichts ersichtlich. Insofern ist davon auszugehen, dass sich das Risiko einer Weiterverbreitung der Gesundheitsdaten des Klägers durch den Dritten nicht verwirklicht hat. Soweit dieses Risiko nach der Rücksendung der Beihilfebelege noch fortbesteht, schätzt das Gericht es als äußerst gering ein. Das Bundesverwaltungsamt hat die Beihilfebelege unverzüglich von dem Dritten zurückverlangt und an den Kläger zurückgegeben, nachdem es den Fehlversand bemerkt hatte; dem entsprechenden Vorbringen der Beklagten ist der Kläger nicht entgegengetreten. Der Kläger hat dem Gericht auch keine persönlichen Folgen dargelegt, die über den Vertraulichkeitsverlust und die Bloßstellung hinausgehen, welche schon allgemein anzuerkennen sind. Insofern sind die Folgen des Verstoßes für den Kläger begrenzt.

Die Genugtuungsfunktion des Schadensersatzanspruchs fällt demgegenüber in diesem Fall nicht ins Gewicht. Der Fehlversand der Beihilfebelege beruht lediglich auf einfacher Fahrlässigkeit; grobe Fahrlässigkeit oder gar Vorsatz erkennt das Gericht darin nicht.

Auch eine Abschreckungsfunktion braucht der Schadensersatz in diesem Fall nicht zu erfüllen, sodass es nicht darauf ankommt, ob eine solche im Rahmen des Art. 82 Abs. 1 DSGVO überhaupt anzuerkennen ist. Schließlich besteht auch keine Wiederholungsgefahr. Nach Angaben des Bundesverwaltungsamtes hat es sich bei dem Fehlversand um einen einmaligen Ausnahmefall gehandelt. Das Bundesverwaltungsamt hat darüber hinaus den Umgang mit den eingesandten Belegen geändert. So werden die Beihilfebescheide nunmehr ohne Belege verschickt und alle zur Verfügung gestellten Belege datenschutzkonform in der Beihilfestelle vernichtet. Ein dem vorliegenden Fall gleichgelagerter Verstoß gegen Art. 9 DSGVO ist damit für die Zukunft ausgeschlossen. Darüber hinaus hat die Beklagte den zuständigen Datenschutzbeauftragten eingeschaltet.

Die ermittelte Schadenshöhe von 1.000,00 Euro stellt sich schließlich auch im vergleichenden Blick auf bislang von den Zivil- und Arbeitsgerichten nach Art. 82 Abs. 1 DSGVO ausgeurteilte Schmerzensgelder als angemessen dar. Deutlich höhere Beträge von 2.000,00 Euro bis 5.000,00 Euro sind zuerkannt worden, wenn es sich um schwerwiegende vorsätzliche Verstöße gegen die DSGVO handelte, wie die Sammlung und Übermittlung von Beschäftigtendaten in einer Klinik, den Identitätsdiebstahl oder das Ausspähen durch ein Detektivbüro. Deutlich niedrigere Beträge um die 500,00 Euro sind bislang zugesprochen worden, wenn der Verstoß weniger sensible Daten betraf, wie bei der fehlerhaften Versendung eines Kontoabschlusses, vgl. LAG Hamm, Urteil vom 14. Dezember 2021 - 17 Sa 1185/20 -, juris Rn. 155 ff.; LG München I, Urteil vom 9. Dezember 2021 - 31 O 16606/20 -, juris Rn. 45; OLG Dresden, Urteil vom 30. November 2021 - 4 U 1158/21 -, juris Rn. 13; OLG Frankfurt, Urteil vom 14. April 2022 - 3 U 21/20 -, juris Rn. 58; siehe auch Quaas, a.a.O., Art. 82 Rn. 34.1; Leibold, in: ZD-Aktuell 2021, 05146; ZD-Aktuell 2021, 05043; ZD-Aktuell 2022, 01092; ZD 2022, 18.

Einer Vorlage an den Europäischen Gerichtshof nach Art. 267 Abs. 1 und Abs. 2 des Vertrages über die Arbeitsweise der Europäischen Union (AEUV) zur Frage des Erfordernisses einer Bagatell- und Erheblichkeitsschwelle sowie zur Abschreckungsfunktion des Schadensersatzes bedarf es – ungeachtet des Umstandes, dass das erkennende Gericht nach Art. 267 Abs. 3 AEUV ohnehin nicht zur Vorlage verpflichtet ist – nach den vorstehenden Ausführungen nicht. Aus denselben Gründen ist auch eine Aussetzung des Verfahrens nach § 94 VwGO analog nicht angezeigt.

Der Zinsanspruch bezüglich der Hauptforderung beruht auf § 288 Abs. 1, § 286 Abs. 1 Bürgerliches Gesetzbuch (BGB), da sich die Beklagte im Verzug befand. Der Kläger hatte aufgrund des Verstoßes gegen die DSGVO einen wirksamen, fälligen, einredefreien Anspruch gemäß Art. 82 DSGVO auf Zahlung von Schmerzensgeld gegenüber der Beklagte. Der Kläger hat die Beklagte mit Fristsetzung bis zum 23. Juli 2019 und unter Nennung einer konkreten Summe zur Zahlung aufgefordert. Die Beklagte befindet sich mithin seit dem 24. Juli 2019 in Verzug.

Die vom Kläger zusätzlich geltend gemachten vorgerichtlichen Rechtsanwaltskosten sind im tenorierten Umfang aus Art. 82 Abs. 1 DSGVO i.V.m. den zu § 249 Abs. 1 BGB entwickelten Grundsätzen begründet. Die Inanspruchnahme eines Rechtsanwalts war für den Kläger zur Durchsetzung seines Schadensersatzanspruchs aus Art. 82 Abs. 1 DSGVO angesichts der schwierigen und unübersichtlichen Rechtslage erforderlich und zweckmäßig. Allerdings sind die vorgerichtlichen Rechtsanwaltskosten nicht aufgrund des Gegenstandswerts von 3.000,00 Euro zu berechnen. Dem Anspruch ist vielmehr der Wert zugrunde zu legen, der dem berechtigten Schadensersatzanspruch entspricht. Dies sind hier 1.000,00 Euro. Danach hat der Kläger Anspruch auf Ersatz von vorgerichtlichen Rechtsanwaltskosten in Höhe von 81,68 Euro (0,65 Geschäftsgebühr Nr. 2300 VV RVG von 57,20 Euro, Pauschale Nr. 7002 VV RVG von 11,44 Euro, Umsatzsteuer Nr. 7008 VV RVG von 13,04 Euro), vgl. OLG Frankfurt, Urteil vom 14. April 2022 - 3 U 21/20 -, juris Rn. 59 ff.

Der Zinsanspruch bezüglich der Nebenforderung der vorgerichtlichen Rechtsanwaltskosten beruht auf §§ 291, 288 Abs. 1 Satz 2 BGB analog. Die Rechtshängigkeit ist vor dem Amtsgericht Düsseldorf nach § 261 Abs. 1, § 253 Abs. 1 ZPO mit der Zustellung der Klageschrift an das Bundesverwaltungsamt der Beklagten am 21. Oktober 2020 eingetreten. Die Wirkungen der Rechtshängigkeit bleiben auch nach der Verweisung des Verfahrens bestehen, § 17b Abs. 1 Satz 2 GVG.

Der Zinslauf beginnt analog § 187 Abs. 1 BGB am Tag nach der Klagezustellung, hier am 22. Oktober 2020.

Die Kostenentscheidung beruht auf § 155 Abs. 1 Satz 1 Var. 2 VwGO.

Die Entscheidung über die vorläufige Vollstreckbarkeit folgt aus § 167 Abs. 1 Satz 1 VwGO i.V.m. § 708 Nr. 11, § 711 ZPO.

Die Berufung ist nach §§ 124a Abs. 1 i.V.m. 124 Abs. 2 Nr. 3 VwGO wegen grundsätzlicher Bedeutung der Rechtssache zuzulassen.