Kein Schadenersatz im Datenschutz ohne Schaden

Der Datenschutz bzw. das Datenschutzrecht gewährt Betroffenen umfassende Rechte, wie jeder Datenschutzbeauftragte von Praxen, einer Arztpraxis oder Physiotherapie-Praxis weiß, denn über diese muss in der Datenschutz-Information belehrt werden.

Eines dieser Rechte war in der jüngeren Vergangenheit vermehrt Gegenstand von medialer Diskussion und Gerichtsentscheidungen: Das Recht auf Schadenersatz.

Auch eine Praxis schuldet beim Verstoß gegen Datenschutz keinen Schadenersatz ohne Schaden

Dem deutschen Rechtsverständnis von Schadenersatz liegt der Gedanke der Naturalrestitution zugrunde. Dieser besagt, dass der Schädiger den Zustand herstellen muss, der bestünde, wäre das schädigende Ereignis nicht eingetreten.

Einfach ist dies, wenn der Schaden unmittelbar in Geld ausgedrückt werden kann, bspw. als Reparaturkosten eines verunfallten Autos. Schwieriger ist dies, wenn der Schaden nur gefühlt ist, wie bespw. bei einer Ehrverletzung aufgrund einer Beleidigung.

Da die DSGVO in Artikel 82 einen Schadenersatzanspruch bei Verletzungen des Datenschutzes vermittelt, stellt sich die Frage: Was kann ein solcher Schaden sein?

Im vergangenen Jahr machten vor allem Fälle Furore, bei denen Privatpersonen Webseitenbetreiber wegen datenschutzwidrigem Einsatz der Google-fonts abgemahnt hatten und mit Schadenersatz-Forderungen konfrontiert wurden. Die Schreiben gingen von auf Massenabmahnugnen spezialisierten Anwälten aus und scheiterten letztlich, weil sie als rechtsmissbräuchlich eingestuft wurden: Der Kläger konnte das Landgericht München nicht überzeugen, einen Schaden durch die Google-fonts gehabt zu haben. Es führte aus:

Das Gericht erachtet es für kaum denkbar, dass eine Privatperson nur aus Verärgerung über einen aus ihrer Sicht gegebenen und weit verbreiteten Datenschutzverstoß von Website-Betreibern den mit der Versendung von mindestens 100.00 Abmahnschreiben verbundenen Aufwand auf sich nehmen wird, nur um auf den von ihm gesehenen Missstand beim Datenschutz aufmerksam zu machen.
LG München I, Endurteil v. 30.03.2023 – 4 O 13063/22

Für eine Arztpraxis oder Physiotherapiepraxis gilt: bei Patientendaten liegen Schaden und Ersatzanspruch oft nahe!

Ob ein ersatzfähiger Schaden vorliegt oder nicht, bleibt auch im Datenschutz zentrale Beweisfrage. Für die Praxis im Datenschutz ist aber zu beachten: Eine Erheblichkeitsschwelle existiert nicht, wie das Bundesverfassungsgericht und auch der EuGH jüngst festgestellt haben. Verstößt beispielsweise eine Praxis gegen den Datenschutz, kommt es also zu einer Verletzung des Schutzes personenbezogener Daten, kann schon eine kleinste Unannehmlichkeit für die Patienten zu einem Schadenersatzanspruch führen. Dies ist eine europarechtliche Besonderheit der DSGVO und anders als im deutschen Recht.

Die DSGVO selbst verlangt in ihrem Erwägungsgrund 146

Der Begriff des Schadens sollte im Lichte der Rechtsprechung des [europäischen] Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.

Einen Dämpfer musste aber nun ein Kläger hinnehmen, der sich durch MediamarktSaturn in seinen Rechten verletzt sah. Hintergrund: Ein Kunde kaufte in einer Filiale des Elektrofachhändlers ein Haushaltsgerät. An der Warenausgabe gaben jedoch die Mitarbeiter die Ware samt der Kaufvertragsdokumente einem anderen Kunden, der sich vorgedrängelt hatte. Die Mitarbeiter von Saturn bemerkten ihren Fehler und der Kunde hatte sein Gerät und seine Unterlagen eine halbe Stunde später wieder in seinen Händen. Trotzdem verklagte der Kunde MediamarktSaturn (erfolglos) auf Schmerzensgeld.

Der EuGH führte in seinem Urteil unter andem aus:

[…] der bloße Verstoß gegen die Bestimmungen der DSGVO [reicht für sich genommen] nicht [aus], um auf dieser Grundlage einen Schadensersatzanspruch zu begründen […]

Gleichzeitig betonte aber der EuGH, dass die betroffene Person den Schaden zwar glaubhaft darlegen und begründen müsse, die Messlatte aber denkbar tief hinge. In Fortführung eines Urteils des EuGH aus dem Dezember 2023 führte er aus:

[…] der Begriff „immaterieller Schaden“ im Sinne von Art. 82 Abs. 1 [ist] weit zu verstehen […], […] aus dem mit der DSGVO verfolgten Ziel der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten ergibt [sich], dass die durch einen Verstoß gegen die DSGVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 darstellen kann.

Konsequenzen für Arztpraxis, Physiopraxis oder Zahnarztpraxis?

Es ist damit zu rechnen, dass Praxen, egal ob Arztpraxis, Physiotherapie-Praxis oder Zahnarztpraxis, in Zukunft vermehrt Ziel von Schadenersatzklagen werden, wenn gegen den Datenschutz verstoßen wird. Aufgrund der hohen Sensitivität von Patientendaten wird ein klassicher Verstoß gegen den Datenschutz, wie er in einer Arztrpaxis, einer Physiotherapiepraxis oder Zahnarztpraxis vorkommt, also z.B.:

  • Terminzettel dem falschen Patienten mitgegeben
  • Heilmittelverordnungen, Patientenakten bei Hausbesuchen liegengelassen
  • E-Mail im Patienteninformationen an den falschen Empfänger geschickt
  • Akten offen liegen gelassen, so dass andere Patienten Einsicht nehmen konnten
  • etc.

Schadenersatzansprüche auslösen. Hiergegen sollte jede Praxis gewappnet sein.

Praxis vor Schadenersatz wegen Datenschutzverletzung durch angemessen Datensicherheitsmaßnahmen schützen

Glücklicherweise gibt der EuGH in seinem Urteil aus dem Dezember 2023 selbst eine Antwort auf die Frage, wie sich eine Arztpraxis oder Physio-Praxis oder auch Zahnarztpraxis wirksam vor Schadenersatzforderungen schützt.

Der EuGH stellt nämlich klar, dass sich aus dem Befund der Verletzung des Schutzes personenbezogener Daten allein noch kein für den Schadenersatzanspruch erforderliches Verschulden ableiten lässt. Eine Praxis kann nämlich den Beweis dafür antreten, für ein situativ und dem Schutzbedürfnis der Daten angemessenes Datensicherheitsniveau Sorge getragen zu haben.

Mit einer checklistenhaftenUmsetzung” des Datenschutzes ist es hierfür aber gerade nicht getan. Die Datensicherheit beginnt nämlich bei der individuellen Schutzbedarfsanalyse, führt über die Abwägung der unterschiedlichen zu ergreifenden technischen und organisatorischen Maßnahmen und endet bei der Überprüfung/Auditierung selbiger. Dass dies alles sauber und ordentlich dokumentiert sein muss, ergibt sich bereits aus der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO), wird aber beim Schutz vor Schadenersatzklagen brandaktuell.

Fazit für Praxen

Ein weitestgehend wirksamer Schutz vor Schadenersatzforderungen ist in einer Praxis umsetzbar. Da Fehler immer passieren können und absolute Sicherheit nicht besteht, ist jede Arztpraxis oder Physiotherapie-Praxis oder Zahnarztpraxis gut beraten in Datenschutz und Datensicherheit zu investieren. Insbesondere die regelmäßige Schulung sämtlicher Mitarbeiter sollte inzwischen in jeder Praxis zum Pflichtprogramm gehören.