Gesundheitsdaten unterliegen einem besonderen Schutz gemäß Datenschutzgrundverordnung (DSGVO), wie ein Urteil des Amtsgerichts Pforzheim veranschaulicht. Deswegen sollten Vermittler entsprechende Vorkehrungen treffen, rät Rechtsanwalt Björn Thorben M. Jöhnke von der Kanzlei Jöhnke & Reichow Rechtsanwälte in seinem Fachbeitrag beim Versicherungsbote.
Ein Psychotherapeut hat die Gesundheitsdaten des Ehemanns einer Klientin gespeichert und unerlaubt übermittelt. Hat er damit gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen und sich schadensersatzpflichtig gemacht? Ist dabei ein Schadensersatz in Höhe von 4.000 Euro angemessen? Mit diesen Fragen hatte sich das Amtsgericht Pforzheim (AG Pforzheim) zu befassen gehabt (AG Pforzheim, Urt. v. 25.03.2020 - 13 C 160/19).
Der Fall vor dem AG Pforzheim
Der Beklagte ist Psychotherapeut. Die Ehefrau des Klägers war bei diesem in Behandlung. Im Rahmen der Therapie speicherte der Psychotherapeut dabei auch Daten über den Ehemann, unter anderem auch Gesundheitsdaten (z.B. Alkoholmissbrauch und Persönlichkeitsstörungen).
In der Folgezeit zerstritten sich die Ehepartner und es entbrannte über die gemeinsamen Kinder Streit. Die Ehefrau legte im Umgangsverfahren vor Gericht schließlich eine schriftliche Bestätigung über die Verhaltensweisen des Klägers vor. Durch die Einführung des Dokuments in das gerichtliche Umgangsverfahren erfuhren sämtliche Beteiligte den Inhalt. Dieser lautete auszugsweise wie folgt:
"Das war aufgrund des Auftretens von Herrn X sofort möglich, die Diagnose für Herrn lautet eindeutig narzisstische Persönlichkeitsstörung. Des Weiteren ist in den Sprechstunden ein psychischer Befund (gemäß ADMP) zu erstellen, der wie folgt lautet: Auffällig bei der Kontaktaufnahme ist, dass Herr (...) weder Augenkontakt aufnehmen kann noch in der Lage ist einen Rapport herzustellen, sowie die motorische Unruhe (…)”
Wie hat das AG Pforzheim entschieden?
Die Klage hatte Erfolg. Der Kläger habe gegen den Beklagten einen Anspruch auf immateriellen Schadensersatz in Höhe von 4.000 Euro gemäß Art. 82 DSGVO, da der Beklagte entgegen Art. 9 DSGVO Gesundheitsdaten des Klägers verarbeitet habe. Darin sah das Gericht einen schwerwiegenden Eingriff in die Rechte des Klägers aus der DSGVO, da diese Daten unerlaubt – also ohne die notwendige Einwilligung – übermittelt worden seien.
Zunächst führte das Amtsgericht aus, dass es sich bei den aufbewahrten Informationen um Gesundheitsdaten handele, die einem besonderen Schutz nach Art. 9 DSGVO unterliegen. Eine Rechtfertigung für den Datentransfer an die Ehefrau im Rahmen des gerichtlichen Verfahrens sei nach Ansicht des Gerichts nicht erkennbar. Unstreitig sei zwischen den Parteien, dass der Kläger nicht in die Übermittlung der Daten im Sinne des Art. 9 Abs. 2 lit.a DSGVO eingewilligt hat.
Ferner greife auch die Ausnahmevorschrift des Art. 9 Abs. 2 lit.h DSGVO nicht. Die Verarbeitung erfolgte nicht für Zwecke der Gesundheitsvorsorge, für die Beurteilung der Arbeitsfähigkeit, für die medizinische Diagnostik, die Versorgung im Gesundheitsbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich. Vielmehr erfolgte die Übermittlung der Daten, um sie im Rahmen des gerichtlichen Umgangsverfahrens zwischen dem Kläger und seiner Ehefrau berücksichtigen zu können. Es sei mithin kein Anhaltspunkt dafür ersichtlich, dass dieser Fall von Art. 9 Abs. 2 lit.h DSGVO erfasst sein soll.
Des Weiteren sei im Streitfall auch zu berücksichtigen, dass der Kläger durch den Beklagten nicht psychotherapeutisch behandelt worden sei. Weitere Ausnahmetatbestände kommen ebenfalls nicht in Betracht, meint das AG Pforzheim. Auch gebe es nach Auffassung des Gerichts keine Anhaltspunkte für eine konkrete, unmittelbar bevorstehende Gefährdung des Wohls der Ehefrau des Klägers oder seiner Kinder.
Dabei sei außerdem zu berücksichtigen, dass die Feststellungen des Beklagten lediglich auf den Ausführungen der Ehefrau des Klägers und dem subjektiven Eindruck aus dem Gesprächstermin resultieren. Demnach sei eine profunde Beurteilung der Persönlichkeit des Klägers durch den Beklagten nicht erfolgt, so das Amtsgericht.
Die Höhe des Schadensersatzanspruchs
Das Gericht stufte in Anbetracht der Umstände und der Schwere der Verletzung den Schaden in Höhe von 4.000 Euro ein. Im vorliegenden Fall gehe es um die Weitergabe von Gesundheitsdaten. Dabei handele es sich generell um besonders sensible Daten. Dieser Umstand sei daher zu berücksichtigen. Im Streitfall gelte dies erst recht, da sie einen unmittelbaren Rückschluss auf die Psyche des Klägers zulassen.
Es handele sich letztlich um einen Eingriff in die höchstpersönliche Sphäre des Klägers. Zwar seien die Informationen nicht einer breiten Öffentlichkeit bekannt gemacht worden, sondern lediglich den Beteiligten des Umgangsverfahrens. Die Ausführungen seien jedoch gerade im Rahmen des gerichtlichen Umgangsverfahrens besonders sensibel, da sie einen erheblichen Einfluss auf die Entscheidung des Gerichts nehmen können, abschließend das Gericht.
Fazit zu der gerichtlichen Entscheidung
Das Urteil des AG Pforzheim überzeugt. Nach der bisherigen Rechtsprechung muss für einen DSGVO-Schadensersatz eine gewisse Erheblichkeitsschwelle überschritten werden, damit ein Schadensersatz fällig wird. Vorliegend hat der Beklagte diese Erheblichkeitsschwelle überschritten, da ein Eingriff in die höchstpersönliche Sphäre des Klägers vorliegt.
In der Sache wird gegen das erstinstanzliche Urteil mit Sicherheit Berufung eingelegt werden. Deshalb wird das Ergebnis des Berufungsgerichts abzuwarten sein. Spannend bleibt weiterhin auch die Frage, wie der Europäische Gerichtshof den Problemen des Schadensersatzanspruchs nach Art. 82 DSGVO begegnen wird.
Hinweis und Bedeutung für Versicherungsvermittler
Insbesondere für Finanzdienstleister hat diese Entscheidung Bedeutung. Denn diese Entscheidung zeigt, wie schnell gerade auch diese Erheblichkeitsschwelle erreicht ist und es ebenso schnell auch zu Bußgeldern und / oder Schadensersatzleistungen kommen kann. Da Versicherungsvermittler sensible Kundendaten speichern, welche sehr häufig auch dem Bereich der Artikel 9 Daten der DSGVO zuzuordnen sind, sollten Vermittler entsprechende Vorkehrungen treffen, dass derartige Daten nicht ohne Einwilligung an Dritte übermittelt werden. Dieses gilt beispielweise gerade auch für Risikovoranfragen an Versicherungen, bei welchen Gesundheitsdaten der Kunden an den Versicherer zur Einschätzung des Risikos, respektive der Versicherbarkeit, übermittelt werden.
Nachfolgend können weitere Rechtsstreitigkeiten im Bereich des IT-Rechts/Datenschutzrecht nachgelesen werden. Weitere rechtliche Praxisfälle mit entsprechenden Tipps für die Vermittlerpraxis werden auf dem für Vermittler kostenfreien digitalen Vermittler-Treff besprochen.