Kein Schadenersatz im Datenschutz ohne Schaden

Der Datenschutz bzw. das Datenschutzrecht gewährt Betroffenen umfassende Rechte, wie jeder Datenschutzbeauftragte von Praxen, einer Arztpraxis oder Physiotherapie-Praxis weiß, denn über diese muss in der Datenschutz-Information belehrt werden.

Eines dieser Rechte war in der jüngeren Vergangenheit vermehrt Gegenstand von medialer Diskussion und Gerichtsentscheidungen: Das Recht auf Schadenersatz.

Auch eine Praxis schuldet beim Verstoß gegen Datenschutz keinen Schadenersatz ohne Schaden

Dem deutschen Rechtsverständnis von Schadenersatz liegt der Gedanke der Naturalrestitution zugrunde. Dieser besagt, dass der Schädiger den Zustand herstellen muss, der bestünde, wäre das schädigende Ereignis nicht eingetreten.

Einfach ist dies, wenn der Schaden unmittelbar in Geld ausgedrückt werden kann, bspw. als Reparaturkosten eines verunfallten Autos. Schwieriger ist dies, wenn der Schaden nur gefühlt ist, wie bespw. bei einer Ehrverletzung aufgrund einer Beleidigung.

Da die DSGVO in Artikel 82 einen Schadenersatzanspruch bei Verletzungen des Datenschutzes vermittelt, stellt sich die Frage: Was kann ein solcher Schaden sein?

Im vergangenen Jahr machten vor allem Fälle Furore, bei denen Privatpersonen Webseitenbetreiber wegen datenschutzwidrigem Einsatz der Google-fonts abgemahnt hatten und mit Schadenersatz-Forderungen konfrontiert wurden. Die Schreiben gingen von auf Massenabmahnugnen spezialisierten Anwälten aus und scheiterten letztlich, weil sie als rechtsmissbräuchlich eingestuft wurden: Der Kläger konnte das Landgericht München nicht überzeugen, einen Schaden durch die Google-fonts gehabt zu haben. Es führte aus:

Das Gericht erachtet es für kaum denkbar, dass eine Privatperson nur aus Verärgerung über einen aus ihrer Sicht gegebenen und weit verbreiteten Datenschutzverstoß von Website-Betreibern den mit der Versendung von mindestens 100.00 Abmahnschreiben verbundenen Aufwand auf sich nehmen wird, nur um auf den von ihm gesehenen Missstand beim Datenschutz aufmerksam zu machen.
LG München I, Endurteil v. 30.03.2023 – 4 O 13063/22

Für eine Arztpraxis oder Physiotherapiepraxis gilt: bei Patientendaten liegen Schaden und Ersatzanspruch oft nahe!

Ob ein ersatzfähiger Schaden vorliegt oder nicht, bleibt auch im Datenschutz zentrale Beweisfrage. Für die Praxis im Datenschutz ist aber zu beachten: Eine Erheblichkeitsschwelle existiert nicht, wie das Bundesverfassungsgericht und auch der EuGH jüngst festgestellt haben. Verstößt beispielsweise eine Praxis gegen den Datenschutz, kommt es also zu einer Verletzung des Schutzes personenbezogener Daten, kann schon eine kleinste Unannehmlichkeit für die Patienten zu einem Schadenersatzanspruch führen. Dies ist eine europarechtliche Besonderheit der DSGVO und anders als im deutschen Recht.

Die DSGVO selbst verlangt in ihrem Erwägungsgrund 146

Der Begriff des Schadens sollte im Lichte der Rechtsprechung des [europäischen] Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.

Einen Dämpfer musste aber nun ein Kläger hinnehmen, der sich durch MediamarktSaturn in seinen Rechten verletzt sah. Hintergrund: Ein Kunde kaufte in einer Filiale des Elektrofachhändlers ein Haushaltsgerät. An der Warenausgabe gaben jedoch die Mitarbeiter die Ware samt der Kaufvertragsdokumente einem anderen Kunden, der sich vorgedrängelt hatte. Die Mitarbeiter von Saturn bemerkten ihren Fehler und der Kunde hatte sein Gerät und seine Unterlagen eine halbe Stunde später wieder in seinen Händen. Trotzdem verklagte der Kunde MediamarktSaturn (erfolglos) auf Schmerzensgeld.

Der EuGH führte in seinem Urteil unter andem aus:

[…] der bloße Verstoß gegen die Bestimmungen der DSGVO [reicht für sich genommen] nicht [aus], um auf dieser Grundlage einen Schadensersatzanspruch zu begründen […]

Gleichzeitig betonte aber der EuGH, dass die betroffene Person den Schaden zwar glaubhaft darlegen und begründen müsse, die Messlatte aber denkbar tief hinge. In Fortführung eines Urteils des EuGH aus dem Dezember 2023 führte er aus:

[…] der Begriff „immaterieller Schaden“ im Sinne von Art. 82 Abs. 1 [ist] weit zu verstehen […], […] aus dem mit der DSGVO verfolgten Ziel der Gewährleistung eines hohen Schutzniveaus für natürliche Personen bei der Verarbeitung personenbezogener Daten ergibt [sich], dass die durch einen Verstoß gegen die DSGVO ausgelöste Befürchtung einer betroffenen Person, ihre personenbezogenen Daten könnten von Dritten missbräuchlich verwendet werden, für sich genommen einen „immateriellen Schaden“ im Sinne von Art. 82 Abs. 1 darstellen kann.

Konsequenzen für Arztpraxis, Physiopraxis oder Zahnarztpraxis?

Es ist damit zu rechnen, dass Praxen, egal ob Arztpraxis, Physiotherapie-Praxis oder Zahnarztpraxis, in Zukunft vermehrt Ziel von Schadenersatzklagen werden, wenn gegen den Datenschutz verstoßen wird. Aufgrund der hohen Sensitivität von Patientendaten wird ein klassicher Verstoß gegen den Datenschutz, wie er in einer Arztrpaxis, einer Physiotherapiepraxis oder Zahnarztpraxis vorkommt, also z.B.:

• Terminzettel dem falschen Patienten mitgegeben
• Heilmittelverordnungen, Patientenakten bei Hausbesuchen liegengelassen
• E-Mail im Patienteninformationen an den falschen Empfänger geschickt
• Akten offen liegen gelassen, so dass andere Patienten Einsicht nehmen konnten
• etc.

Schadenersatzansprüche auslösen. Hiergegen sollte jede Praxis gewappnet sein.

Praxis vor Schadenersatz wegen Datenschutzverletzung durch angemessen Datensicherheitsmaßnahmen schützen

Glücklicherweise gibt der EuGH in seinem Urteil aus dem Dezember 2023 selbst eine Antwort auf die Frage, wie sich eine Arztpraxis oder Physio-Praxis oder auch Zahnarztpraxis wirksam vor Schadenersatzforderungen schützt.

Der EuGH stellt nämlich klar, dass sich aus dem Befund der Verletzung des Schutzes personenbezogener Daten allein noch kein für den Schadenersatzanspruch erforderliches Verschulden ableiten lässt. Eine Praxis kann nämlich den Beweis dafür antreten, für ein situativ und dem Schutzbedürfnis der Daten angemessenes Datensicherheitsniveau Sorge getragen zu haben.

Mit einer checklistenhaften “Umsetzung” des Datenschutzes ist es hierfür aber gerade nicht getan. Die Datensicherheit beginnt nämlich bei der individuellen Schutzbedarfsanalyse, führt über die Abwägung der unterschiedlichen zu ergreifenden technischen und organisatorischen Maßnahmen und endet bei der Überprüfung/Auditierung selbiger. Dass dies alles sauber und ordentlich dokumentiert sein muss, ergibt sich bereits aus der Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO), wird aber beim Schutz vor Schadenersatzklagen brandaktuell.

Fazit für Praxen

Ein weitestgehend wirksamer Schutz vor Schadenersatzforderungen ist in einer Praxis umsetzbar. Da Fehler immer passieren können und absolute Sicherheit nicht besteht, ist jede Arztpraxis oder Physiotherapie-Praxis oder Zahnarztpraxis gut beraten in Datenschutz und Datensicherheit zu investieren. Insbesondere die regelmäßige Schulung sämtlicher Mitarbeiter sollte inzwischen in jeder Praxis zum Pflichtprogramm gehören.

Hacker nutzen Zahnbürsten für Cyberangriffe?

Angeblich sei es Hackern gelungen, auf 3 Millionen elektrischen Zahnbürsten – also Gegenstände, die man durchaus auch in Arzt, Zahnarzt oder Physio Praxen finden könnte – eine Schadsoftware aufzuspielen, um sie für einen DDoS-Angriff zu nutzen. Hinter der Meldung verbirgt sich zwar ein Hoax, was aber wie ein B-Movie-Titel klingt, könnte auch in einer Praxis, sei es eine Arztpraxis, Zahnarzt oder Physio Praxis tatsächlich Realität werden. Wer Datenschutzbeaufter oder Datenschutzkoordinator einer Praxis ist, sollte jetzt aufpassen. Von Angriffen mittels elektrischer Zahnbürsten hatte unter anderem die schweizerische online Ausgabe der Netzwoche berichtet, welche sich ihrerseits auf einen Bericht der Firma Fortinet bezog.

Die im Datenschutz bereits versierten unter Ihnen wissen: DDoS steht für Distributed Denial of Service; eine Angriffsmethode, die Hacker Nutzen, um Server oder bestimmte Dienste wie Webseiten lahmzulegen. Es gibt unterschiedliche Arten von DDoS Attacken. Das Prinzip ist aber immer dasselbe: Ein System oder ein Dienst wird durch massenhafte Anfragen überlastet und hört dadurch auf, ordnungsgemäß zu funktionieren, bzw. ist dann für legitime Anfragen nicht mehr erreichbar. DDoS-Angriffe sind oftmals Mittel von Hackern, um Unternehmen gezielt zu schaden und gegebenenfalls Lösegeld zu erpressen. Eine Beschreibung der DDoS-Attacken findet sich auch auf der Seite des BSI.

Die Gefahren des IOT für den Datenschutz auch in Praxen

Aber wie kommen nun die Zahnbürsten und der Datenschutz ins Spiel? Beim DDoS Angriff kapern Hacker zunächst unzählige Computer und andere Geräte mit Hilfe von Schadsoftware (Viren, o.ä.). Diese gekaperten Computer und Geräte bezeichnet man dann auch als Botnet. Zum Starten des Angriffs sendet der Hacker an alle Computer und Geräte aus seinem Botnet die Anweisung, auf eine bestimmte Website, E-Mail-Server oder sonstigem vom Internet aus erreichbaren Dienst zuzugreifen. Die entstehende plötzliche Flut an Anfragen und Traffic bringt dann – so das Kalkül der Hacker – das betroffene System an seine Grenzen und es fällt aus.

IOT unbedingt zum Thema im Datenschutz-Konzept der Praxis machen

Die Bedrohungen aus dem Cyberraum wachsen täglich. Um so wichtiger ist es, alle möglichen Sicherheitslücken in einer Praxis zu schließen. Eine besondere Gefahr besteht darin, dass heute mehr und mehr Geräte des täglichen Lebens ans Internet angeschlossen werden – zumeist über WLAN. Während die meisten medizinischen Geräte einer Praxis, die einen Anschluss an das Internet benötigen, gut abgesichert sind, gilt dies für Geräte des täglichen Lebens oft nicht. Viele Geräte wie smarte Kühlschränke oder smarte Waschmaschinen, aber auch smarte Glühbirnen oder smarte Lichtschalter oder eben: Smarte Zahnbürsten, lassen sich ohne Anschluss an das Internet nicht mehr betreiben. Es ist dann auch vom Internet der Dinge also dem internet of things, dem IOT die Rede.

Diese smarten Lösungen für alltägliche Probleme können aber schnell zur Gefahr werden. Teilweise wird vermutet, dass auf besonders günstigen Geräten z.B. aus China, die Sodftware für das Botnet oder der Cryptominer gleich mitgeliefert wird. Jedenfalls dürften die wenigsten die firmware, also das Betriebssystem, ihrer smarten Lichtschalter regelmäßig updaten, wenn dies überhaupt möglich ist…

IOT in Datenschutz-Richtlinie der Praxis aufnehmen

Es empfiehlt sich, den Einsatz von Geräten des IOT in einer Arztpraxis, Physiotherapiepraxis oder Zahnarztpraxis grundsätzlich zu untersagen. Sollten Mitarbeiter dennoch auf die Verwendung von Geräten des IOT nicht verzichten wollen oder Geräte der Praxis online sein müssen, bedarf es eines Sicherheitskonzeptes. Eine – nicht immer verfügbare – Möglichkeit besteht in dem Einsatz von mTLS, einer Methode zur Verschlüsselung des Datenverkehrs mit dem Gerät bei gleichzeitiger gegenseitiger Authentifizierung. Sehr sinnvoll kann auch die Nutzung von DNS-Filterung sein, um zu verhindern, dass über Geräte des IOT schädliche Seiten aufgerufen werden. Das hat nebenbei den positiven Effekt, einen gewissen allgemeinen Schutz vor Malware und Phishing zu bieten. Eine andere gegebenenfalls sinnvolle Maßnahme kann es sein, die IOT-Geräte in einen Gastzugang des WLANs zu sperren, um sie vom eigentlichen Netzwerk der Praxis auszuschließen.