Landgericht Wuppertal, 3 O 101/19

T a t b e s t a n d

Die Klägerin verfolgt Schmerzensgeldansprüche gegenüber der Beklagten aufgrund einer Datenschutzverletzung.

Die Klägerin war bei der Beklagten, eine Krankenkasse aus der Gruppe der Ersatzkassen mit 9,2 Millionen Mitgliedern, gesetzlich versichert. Die Beklagte verfügt über ein Datenbereitstellungssystem (sog. Onlineportal) für ihre Versicherungsnehmer. Innerhalb ihres Serverbundes werden Daten und Dokumente ausschließlich verschlüsselt übertragen. Dieses Datenbereitstellungssystem kann, nachdem sich der Versicherungsnehmer ein sog. digitales Postfach eingerichtet hat, zur erleichterten und sicheren digitalen Kommunikation zwischen Versicherungsnehmer und Versicherer genutzt werden. Nach den internen Dienstanweisungen der Beklagten ist der Versand sensibler Sozialdaten (u.a. der elektronischen Gesundheitsakte) nur auf „gesicherten Wegen“ zulässig. Solche Dokumente sollen entweder auf dem Postweg – unter Nutzung eines zertifizierten Zustelldienstes –, über das sog. Onlineportal oder unter Verwendung angemessener Verschlüsselungstechniken zum Versand kommen.

Die Klägerin führte am 27.11.2018 ein Beratungsgespräch mit einem Versicherungsmakler über den Abschluss einer Krankentagegeldversicherung zum Jahreswechsel. Der Makler empfahl der Klägerin, einen Auszug ihrer Gesundheitsakte bei ihrer gesetzlichen Krankenkasse anzufordern, um die sich im Zusammenhang mit dem Abschluss der Versicherung stellenden Gesundheitsfragen zutreffend beantworten zu können. Die Klägerin plante, ihre Gesundheitsakte nach Erhalt über die Weihnachtsfeiertage 2018 entsprechend durchzusehen.

Am 14.12.2018 kontaktierte die Klägerin fernmündlich die Beklagte. Den Anruf der Klägerin nahm der Zeuge C, ein Mitarbeiter der Beklagten aus der Geschäftsstelle F, der an diesem Tag seinen Dienst in der Telefongeschäftsstelle versah, entgegen. Der Zeuge C fragte die Identität der Klägerin zu Beginn und auch im weiteren Verlauf des Gesprächs nicht ab. Über den weiteren Inhalt sowie Verlauf des Telefonats befinden sich die Parteien in Streit. Der Zeuge C notierte jedenfalls die ihm von der Klägerin mitgeteilte E-Mail-Adresse versehentlich falsch („####@##.##“).

Im Nachgang zu dem Telefonat versandte der Zeuge C die vollständige elektronische Gesundheitsakte der Klägerin mit unverschlüsselter E-Mail an die E-Mail-Adresse „####@##.##“ (nachfolgend: Empfängeradresse), wobei die anliegende elektronische Gesundheitsakte der Klägerin ihrerseits weder verschlüsselt noch pseudonymisiert war. Die beigefügte elektronische Gesundheitsakte der Klägerin enthielt sämtliche Gesundheitsdaten – etwa Arztbesuche, Diagnosen und Therapien – in dem Zeitraum vom 01.01.2015 bis 14.12.2018 nebst ihres Klarnamens und ihrer Versicherungszeit. Darunter waren auch besonders intime Gesundheitsdaten wie Beschwerden und Befunde im gynäkologischen Bereich an mehreren Stellen enthalten. Die Inhalte der elektronischen Gesundheitsakte erzeugten bei der Klägerin erhebliches Schamgefühl.

Die vom Zeugen C versandte E-Mail ging der Klägerin, die die E-Mail-Adresse „####@##.##“ unterhielt, nicht zu.

Am Morgen des 17.12.2018 wandte sich die Klägerin wegen des Nichterhalts der von der Beklagten angekündigten E-Mail fernmündlich an die Beklagte, um sich nach dem Verbleib der E-Mail zu erkundigen. Die Beklagte nahm dieses Anliegen auf (ohne hierüber einen schriftlichen Vermerk niederzulegen), sicherte der Klägerin Nachforschungen und eine Rückmeldung nach Klärung des Anliegens zu. Die Klägerin, die zunehmend befürchtete, dass die für sie bestimmte E-Mail an eine andere Person versandt worden sein könnte, erkundigte sich in der Folge noch am selben Tag erneut fernmündlich bei der Beklagten nach ihrem Anliegen. Dieser Anruf wurde von der Beklagten als Vermerk niedergelegt. Am Nachmittag dieses Tags, d.h. dem 17.12.2018, teilte die Beklagte der Klägerin mit, dass sie festgestellt habe, dass die gegenständliche E-Mail von dem Zeugen C an eine falsche E-Mail-Adresse versandt worden sei. Die Beklagte veranlasste den postalischen Versand einer ausgedruckten Leistungsauskunft an die Klägerin.

In der Zeit vom 17. und 20.12.2018 führte die Klägerin mehrere Telefonate mit der Beklagten, in welcher ihr die Beklagte wiederholt zusicherte, sich um die Angelegenheit zu kümmern, und sich mündlich entschuldigte. Die Klägerin brachte gegenüber der Beklagten zum Ausdruck, wie sehr sie unter der Ungewissheit um den Verbleib ihrer Gesundheitsdaten leide und dass sie seit Tagen nicht mehr schlafen könne. Wegen weiterer Einzelheiten der Gespräche zwischen den Parteien wird auf Anlage N1 des Anlagenbands Klägervertreter verwiesen.

Die vom Zeugen C an die Empfängeradresse versandte E-Mail wurde am 20.12.2018 von diesem an seinen Vorgesetzten, Herrn P, sowie am 07.01.2019 an die Leitung des Kundenservices in der Hauptgeschäftsstelle M, den Zeugen T, weitergeleitet.

Mit anwaltlichem Schreiben vom 21.12.2018 forderte die Klägerin die Beklagte auf, bis zum 03.01.2019 Auskunft über den Verlauf der Datenschutzverletzung zu geben. Am 09.01.2019 räumte die Beklagte die Datenschutzverletzung ein.

Mit anwaltlichem Schreiben vom 15.01.2019 forderte die Klägerin die Beklagte u.a. auf, ihr ein Schmerzensgeld in Höhe von 15.000,00 EUR unter Fristsetzung bis zum 30.01.2019 nebst Rechtsanwaltskosten in Höhe von 1.029,35 EUR zu zahlen. Mit Schreiben vom 25.01.2019 wies die Beklagte den Schadensersatzanspruch der Klägerin zurück.

Die Klägerin reichte wegen der hier streitgegenständlichen E-Mail gegen die Beklagte Beschwerde bei dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit ein.

Bis zuletzt vermochte die Beklagte nicht, die Identität des tatsächlichen Inhabers/der tatsächlichen Inhaberin der Empfängeradresse in Erfahrung zu bringen.

Die Klägerin behauptet, sie habe dem Zeugen C während des Telefonats ihr Anliegen mitgeteilt, ihre bei der Beklagten geführte elektronische Gesundheitsakte der letzten drei Jahre postalisch bis zum 21.12.2018 übersandt zu bekommen. Hierbei habe sie ausdrücklich um Übersendung auf dem Postweg gebeten, um ihre sehr sensiblen Gesundheitsdaten im Rahmen dieses Übermittlungswegs zu schützen. Auf die Möglichkeit, die Gesundheitsakte über das Datenbereitstellungssystem der Beklagten zu empfangen, habe der Zeuge C sie nicht hingewiesen. Vielmehr habe der Zeuge C vorgeschlagen, die Gesundheitsakte, welche aus 90 Seiten bestanden habe, aus Gründen des Umweltschutzes und zur Sicherstellung, dass diese rechtzeitig bei ihr eingehe, per E-Mail an sie zu versenden. Dies habe sie mehrmals zurückgewiesen und vorgeschlagen, die Gesundheitsakte doppelseitig auszudrucken. Der Zeuge C habe daraufhin mitgeteilt, dass das Dokument dann immer noch 70 Seiten umfasse. Sodann sei die Möglichkeit besprochen worden, die Gesundheitsakte über interne Übermittlungswege an die Filiale der Beklagten in ihrem damaligen Wohnort zu versenden und dort vor Ort dann auszudrucken. Wegen ihrer Arbeitszeiten hätte diese Vorgehensweise aber erfordert, dass ihr Partner die Unterlagen abgeholt hätte. Diese Möglichkeit habe der Zeuge C aber als nicht zulässig abgelehnt. Wegen der Beharrlichkeit des Zeugen C in Bezug auf den vorgeschlagen Übermittlungsweg (als E-Mail) habe sie sich darauf eingelassen. Sie habe dem Zeugen C ihre E-Mail-Adresse (####@##.##) mitgeteilt. Dabei habe sie ihren Vornamen unbuchstabiert gesprochen, einen Bindestrich bezeichnet und „N E Y“ buchstabiert. Der Zeuge C habe die Richtigkeit der von ihr mitgeteilten Adresse ihr gegenüber nicht durch Überprüfung (etwa ein vollständiges Wiederholen) zu bestätigen versucht.

Die Klägerin behauptet, für sie sei der Zustand, dass fremde Personen Einblick in ihre Gesundheitsdaten einschließlich sämtlicher personenbezogener Daten, die eine Rückführung auf sie als Person ermöglichen, gehabt haben könnten, unerträglich.

Die Klägerin behauptet, die Beklagte habe bis zum 19.12.2018 nichts unternommen, um die fehlerhafte Versendung ihrer Gesundheitsakte rückgängig zu machen. Die Entschuldigung durch den Zeugen C sei erst am 20.12.2018 auf ihrer Mailbox hinterlassen worden. Die Beklagte habe die streitgegenständliche E-Mail noch zwei weitere Male ungeschützt, d.h. unverschlüsselt, an Mitarbeiter der Beklagten versendet.

Die Klägerin beantragt,

die Beklagte zu verurteilen, an sie ein in das Ermessen des Gerichts gestelltes Schmerzensgeld zzgl. Zinsen in Höhe von fünf Prozentpunkten über dem Basiszinssatz ab dem 31.01.2019 zu zahlen;

festzustellen, dass die Beklagte verpflichtet ist, ihr alle zukünftigen materiellen und immateriellen Schäden, die sich aus dem Datenschutzverstoß der Beklagten vom 14.12.2018 ergeben, zu ersetzen;

die Beklagte zu verurteilen, sie von außergerichtlich angefallenen erstattungsfähigen, anrechnungsfreien Rechtsanwaltskosten in Höhe von 1.029,35 EUR freizustellen.

Die Beklagten beantragt,

die Klage abzuweisen.

Die Beklagte behauptet, die Versendung der elektronischen Gesundheitsakte als E-Mail sei auf ausdrücklichen Wunsch der Klägerin erfolgt. Die Klägerin habe sich im Gespräch mit ihrem Mitarbeiter, dem Zeugen C, nicht einverstanden erklärt, die Gesundheitsakte als beidseitig ausgedrucktes Dokument postalisch zu erhalten. Die Klägerin habe die Unterlagen schnell noch am nächsten Werktag (am 17.12.2018) erhalten wollen. Der Zeuge C habe die E-Mail-Adresse gegenüber der Klägerin zur Absicherung wiederholt. Zudem habe der Zeuge C mehrmals nachgefragt, ob die Klägerin mit dem Versand der Unterlagen per E-Mail einverstanden sei. Die Klägerin habe die E-Mail-Adresse bestätigt und sich mit der E-Mail-Versendung einverstanden erklärt.

Die Beklagte behauptet, sie habe am 20.12.2018 vergeblich versucht, die E-Mail mit Hilfe des Programms „Outlook“ zurückzurufen. Erfolglos habe sie versucht, den tatsächlichen Inhaber der Empfänger- Adresse zu ermitteln.

Die Beklagte behauptet, der Zeuge T habe am 07.01.2019 bei dem Provider der Empfängeradresse (GMX) angerufen. Dort sei ihm die Auskunft erteilt worden, dass der betroffene Account vor einem Jahr (d.h. Anfang 2018) eingerichtet worden sei und seitdem nicht auf das E-Mail-Postfach zugegriffen worden sei. Es habe sich offenbar um einen reinen Vorrats- bzw. Sperr-Account gehandelt. Am 21.01.2019 habe ein weiterer Mitarbeiter, der Zeuge L, den GMX-Kundenservice angeschrieben, um eine schriftliche Bestätigung zu erhalten. Dem Zeugen L sei am 05.02.2019 eine Antwort von GMX zugegangen, dass Anfragen ausschließlich telefonisch beantwortet würden. Am 14.08.2019 habe der Zeuge L noch einmal mit einem Mitarbeiter von GMX, einem Herrn T2, telefoniert. Dem Zeugen L sei mitgeteilt worden, dass auf die Empfänger-Adresse niemals ein Zugriff erfolgt sei und auch nicht von einem externen Mailprogramm zugegriffen worden sei. Der Account sei deaktiviert und gelöscht worden. Es sei nie zu einer Kenntnisnahme des Inhalts der streitgegenständlichen E-Mail durch unbefugte Dritte gekommen.

Die Beklagte behauptet, in der Zeit nach Kenntniserlangung des Datenschutzverstoßes hätten interne Abstimmungen mit ihrer Abteilung für Informationssicherheit stattgefunden, ob noch weitere technische Möglichkeiten bestehen, um die E-Mail zurückzurufen. Das Ergebnis der Prüfung sei gewesen, dass dies nicht möglich sei, da die Exchange-Server von Absender und Empfänger unterschiedlich gewesen seien.

Die Beklagte behauptet, der Zeuge C habe sich am 19.12.2018 bei der Klägerin durch Hinterlassen einer Nachricht auf deren Mailbox für seinen Fehler entschuldigt.

Die Beklagte behauptet, sie habe unter dem 20.12.2018 eine E-Mail an die Empfängeradresse der elektronischen Gesundheitsakte versendet, in welcher sie u.a. um die Löschung der „fehlgeleiteten Unterlagen“ gebeten und ein Verwertungsverbot ausgesprochen habe. Eine Woche später sei erneut eine E-Mail mit diesem Inhalt an die Empfängeradresse versendet worden.

Die Beklagte behauptet, sie habe die Datenschutzverletzung am 20.12.2018 an die zuständige Datenschutzbehörde gemeldet.

Die Beklagte behauptet, die Weiterleitung der streitgegenständlichen E-Mail durch den Zeugen C an seinen Vorgesetzten sowie die Leitung des Kundenservices in der Hauptgeschäftsstelle in M sei in ihrem geschlossenen System erfolgt.

Die Kammer hat Beweis erhoben gemäß Beweisbeschluss vom 15.01.2020 (Bl. 58 f. d.A.) sowie vom 01.04.2020 (Bl. 79 f. d.A.) durch Vernehmung der Zeugen L2, L, C und T. Wegen des Ergebnisses der Beweisaufnahme wird auf das Sitzungsprotokoll vom 18.05.2020 (Bl. 86 ff. d.A.) verwiesen. Wegen der weiteren Einzelheiten des Sach- und Streitstandes wird auf die Gerichtsakte verwiesen.

E n t s c h e i d u n g s g r ü n d e

Die Klage ist zulässig und in dem aus dem Tenor ersichtlichen Umfang begründet.

Die Klage ist zulässig.

Insbesondere ist die Klageschrift ausreichend bestimmt i.S.v. § 253 Abs. 2 Nr. 2 ZPO. Die Klägerin hat in ihrer Klageschrift die Schätzgrundlagen umfassend dargelegt und die Größenordnung ihrer Vorstellungen angegeben.

Auch liegen in Bezug auf den Klageantrag zu 2. die Voraussetzungen nach § 256 Abs. 1 ZPO vor. Insbesondere ist das Feststellungsinteresse zu bejahen, da sich der klägerische Anspruch zur Zeit der Klageerhebung noch in der Fortentwicklung befand.

II.

Die Klage ist in dem aus dem Tenor ersichtlichen Umfang begründet.

Der Klägerin steht ein Schmerzensgeldanspruch gegen die Beklagte gemäß Art. 82 Abs. 1 der Verordnung (EU) 2016/679 (nachfolgend: DSGVO) in Höhe von 4.000,00 EUR zu.

Gemäß Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Der Klägerin ist vorliegend aufgrund eines Verstoßes der Beklagten gegen Art. 32 DSGVO ein immaterieller Schaden entstanden. Die Beklagte haftet der Klägerin als Verantwortliche, Art. 24 ff. DSGVO, da sie den Verstoß zu verantworten hat.

Die Beklagte hat vorliegend gegen Art. 32 Abs. 1 DSGVO verstoßen.

Gemäß Art. 32 Abs. 1 DSGVO hat der Verantwortliche unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Eine solche angemessene Sicherheit ist durch geeignete technische und organisatorische Maßnahmen zu erreichen, bei deren Auswahl Umstände und Zwecke der Verarbeitung ebenso wie die prognostizierte Wahrscheinlichkeit und Schwere einer möglichen Rechtsverletzung durch Sicherheitslücken zu berücksichtigen sind (Grages, in: Plath, DSGVO/BDSG, 3. Aufl., Art. 32 Rn. 3). Art. 32 Abs. 1 Buchst. a DSGVO verweist in diesem Zusammenhang auf die Maßnahme der technischen Verschlüsselung. Gemäß Art. 32 Abs. 4 DSGVO unternimmt der Verantwortliche Schritte, um sicherzustellen, dass ihm unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten, es sei denn, sie sind nach dem Recht der Union oder der Mitgliedstaaten zur Verarbeitung verpflichtet.

Unter Anwendung dieser Maßstäbe hat die Beklagte vorliegend gegen die ihr obliegenden Pflichten verstoßen, indem sie geeignete technische und organisatorische Maßnahmen innerhalb ihres Geschäftsbetriebs nicht unternommen hat, um zu verhindern, dass ihre Mitarbeiter Sozialdaten – wie vorliegend die elektronische Gesundheitsakte der Klägerin – als unverschlüsselte Anlage mit unverschlüsselter E-Mail versenden können. Vorliegend hätte es der Beklagten oblegen, entweder durch geeignete Schulungen ihrer Mitarbeiter diese dahingehend zu sensibilisieren, sensible Gesundheitsdaten nicht ungeschützt und ungesichert per E-Mail zu versenden oder durch geeignete technische und organisatorische Vorrichtungen sicherzustellen, dass Sozialdaten ungeschützt und unverschlüsselt bereits nicht versendet werden können.

Der Beklagten ist es vorliegend nicht gelungen, sich als Verantwortliche im Sinne von Art. 24 DSGVO zu entlasten, Art. 82 Abs. 3 DSGVO.

Gemäß Art. 7 Abs. 1 DSGVO muss der Verantwortliche nachweisen, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.

Auf die Frage, ob die Klägerin vorliegend – wie von der darlegungsbelasteten Beklagten behauptet – in dem Telefonat mit dem Zeugen C in die Versendung der elektronischen Gesundheitsakte per E-Mail eingewilligt hat, kommt es nicht an. Denn bereits durch das unverschlüsselte Versenden sensibler Gesundheitdaten – ungeachtet der behaupteten Zustimmung der Betroffenen (hier: der Klägerin) – hat die Beklagte als Verantwortliche gegen Art. 32 DSGVO verstoßen. Denn dass die Klägerin auch in die unverschlüsselte Versendung der Gesundheitsakte mit E-Mail eingewilligt hat, hat selbst die Beklagte nicht vorgetragen, zumal ein Verzicht auf ein verschlüsseltes Versenden von Daten nach der DSGVO nicht möglich ist (Grages, in: Plath, DSGVO/BDSG, 3. Aufl., Art. 32 Rn. 2).

Entgegen der Rechtsauffassung der Beklagten ist der Klägerin durch das unverschlüsselte Versenden der elektronischen Gesundheitsakte ein immaterieller Schaden gemäß Art. 82 DSGVO entstanden. Denn bereits das unverschlüsselte Versenden der die Klägerin betreffenden Gesundheitsdaten führt zu einer erheblichen Verletzung ihres Allgemeinen Persönlichkeitsrechts nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG.

Zwar führt ein bloßer Verstoß gegen die DSGVO, ohne dass eine Schadensfolge eintritt, nicht zu einer Haftung nach Art. 82 DSGVO (Becker, in: Plath, DSGVO, 3. Aufl., Art. 82 Rn. 4 m.w.N.). Auch reicht ein Bagatellverstoß ohne ernsthafte Beeinträchtigung bzw. eine bloß individuell empfundene Unannehmlichkeit des Betroffenen nicht aus. Allerdings ist eine schwere Verletzung des Persönlichkeitsrechts nicht (mehr) erforderlich. Vielmehr genügt es, dass dem Betroffenen ein spürbarer Nachteil entstanden und eine objektiv nachvollziehbare, mit gewissem Gewicht erfolgte Beeinträchtigung von persönlichkeitsbezogenen Belangen gegeben ist (Becker, in: Plath, DSGVO, 3. Aufl., Art. 82 Rn. 4 m.w.N.). Dieses Ergebnis deckt sich auch mit der Intention des Europäischen Gesetzgebers. Ausweislich Erwägungsgrund 146 Satz 3 soll der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht.

aa.

Die in der unverschlüsselt versandten Gesundheitsakte enthaltenen Daten der Klägerin betrafen – soweit ihr Gesundheitszustand in Bezug auf Arztbesuche, ärztliche Diagnosen und Therapien betroffen war – den Kernbereich höchstpersönlicher, privater Lebensgestaltung (vgl. BGH NJW 2009, 754) und damit die Intimsphäre der Klägerin. Dieser Kernbereich genießt grundsätzlich absoluten Persönlichkeitsschutz, wobei die Abgrenzung sich nach inhaltlichen Kriterien, u.a. etwa dem Detailreichtum der Darstellung richtet. Die Darstellung des Gesundheitszustands der Klägerin in der elektronischen Gesundheitsakte war für den Zeitraum vom 01.01.2015 bis zum 14.12.2018 vollständig und lückenlos, sodass die darin enthaltenen Informationen den absoluten Schutz nach Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG genossen und die Daten einer öffentlichen Darstellung verschlossen waren, weshalb bereits das unverschlüsselte Versenden dieser Daten einen schwerwiegenden Verstoß gegen das Allgemeine Persönlichkeitsrecht der Klägerin begründeten. Die damit verbundene Beeinträchtigung der Klägerin konnte auch nach Art und Weise der Verletzung nicht in anderer Weise befriedigend ausgeglichen werden. Dies folgt im Kern aus Art, Bedeutung und Tragweite des Verstoßes, insbesondere mit Blick darauf, dass vorliegend schwerwiegend und nachhaltig in die Intimsphäre der Klägerin eingegriffen worden ist.

bb.

Die Klägerin trifft auch durch ihr eigenes Verhalten kein Mitverschulden nach § 254 Abs. 1 BGB (analog).

Dabei kann dahinstehen, ob § 254 Abs. 1 BGB vorliegend unmittelbar oder entsprechend zur Anwendung gelangen würde. Denn seine Voraussetzungen liegen bereits nicht vor.

Die für ein Mitverschulden der Klägerin darlegungs- und beweisbelastete Beklagte hat nicht ausreichend substantiiert zu einem insoweit relevanten Verhalten der Klägerin vorgetragen. Werden von einer Partei alle zur Begründung des behaupteten Rechts bzw. der erhobenen Einwendung erforderlichen Tatsachen vorgetragen, muss sich der Gegner hierzu erklären. Er braucht aber keineswegs konkrete Einzelheiten vorzutragen, sondern kann sich auf einfaches Bestreiten beschränken (BGH NJW 1995, 3311, 3312). Die Konkretisierung ist wiederum Sache des Darlegungspflichtigen. Erfüllt er diese Substantiierungslast, muss sich auch der Gegner substantiiert äußern (Greger, in: Zöller, 32. Aufl., § 138 ZPO Rn. 8a). Vorliegend hat die Beklagte auf das erhebliche Bestreiten der Klägerin mit ihrer Replik vom 15.07.2020 (Bl. 24 ff. d.A.), wonach sie u.a. neben einem doppelseitigen Ausdruck der Gesundheitsakte auch vorgeschlagen habe, diese in der Filiale ihres Wohnorts auszudrucken, nicht mehr erwidert. Der erhebliche Vortrag der Klägerin deckt sich insoweit nicht nur mit den zur Akte gereichten Anlagen, insbesondere Anlage N1 des Anlagenbands Klägervertreter, sondern ist auch vor dem Hintergrund der Chronologie mit Blick auf den angestrebten Abschluss einer Krankentagegeldversicherung nachvollziehbar. Der unbestritten gebliebene Vortrag der Klägerin, sie habe die Inhalte ihrer Gesundheitsakte nach Maßgabe der Empfehlungen ihres Versicherungsmaklers über die Weihnachtsfeiertage anschauen wollen, ist lebensnah und fügt sich insoweit in das Gesamtbild.

Aber selbst, wenn unterstellt würde, die Beklagte habe ausreichend substantiiert zu einem Mitverschulden der Klägerin vorgetragen und der Beweisbeschluss hätte sich auch auf die Inhalte des Telefonats vom 14.12.2018 bezogen, wäre der Beklagten aufgrund des Ergebnisses der Beweisaufnahme, insbesondere der Vernehmung des Zeugen C, zur Überzeugung der Kammer die Beweisführung nicht gelungen.

Gemäß § 286 Abs. 1 Satz 1 ZPO hat das Gericht unter Berücksichtigung des gesamten Inhalts der Verhandlungen und des Ergebnisses der Beweisaufnahme nach freier Überzeugung zu entscheiden, ob eine tatsächliche Behauptung für wahr oder für nicht wahr zu erachten ist. Eine Behauptung ist bewiesen, wenn das Gericht von ihrer Wahrheit überzeugt ist, ohne dabei unerfüllbare Anforderungen zu stellen (BGH WM 1998, 1689). Dafür genügt ein für einen vernünftigen, die Lebensverhältnisse klar überschauenden Menschen so hoher Grad von Wahrscheinlichkeit, dass er den Zweifeln Schweigen gebietet, ohne sie völlig auszuschließen (BGHZ 53, 245, 256; BGH NJW 2000, 953).

Das Gericht wäre unter Anwendung dieser Maßstäbe nicht davon überzeugt, dass die Klägerin dem Zeugen C während des Telefonats vom 14.12.2018 ausdrücklich darum gebeten hätte, die elektronische Gesundheitsakte per E-Mail zu versenden. Der Zeuge C hat zwar bekundet, dass die Klägerin mit ihrem Anliegen, ihre Gesundheitsakte zu erhalten, nicht auf den Postweg habe verwiesen werden wollen, sondern die Unterlagen gerne per E-Mail erhalten wollte. Die Aussage des Zeugen ist aber nicht zuverlässig.

Bei der Würdigung von Zeugenaussagen ist zunächst von der Unwahrheit einer Aussage auszugehen (sog. „Nullhypothese“: BGH NJW 1999, 2746; BVerfG NJW 2003, 2444). Deshalb ist es erforderlich, Anhaltspunkte zu finden, die dafür sprechen, dass die Auskunftsperson die Wahrheit sagt (BGH NStZ-RR 2003, 245; OLG Frankfurt NJW-RR 2013, 664 ff.). Dies bedeutet, dass jede Zeugenaussage solange als unzuverlässig gilt, als die Nullhypothese nicht eindeutig widerlegt ist. Eine Widerlegung ist gegeben, wenn aufgrund von Qualitätsmerkmalen, sog. Realkennzeichen oder Realitätskriterien, eine (ausreichend) hohe Wahrscheinlichkeit für die Zuverlässigkeit der Aussage erreicht wird. Als Realitätskriterien gelten beispielsweise der Detailreichtum einer Aussage, die Schilderung von Komplikationen, deliktstypische Einzelheiten, individuelle Prägung, Schilderung von gefühlsmäßigen Reaktionen; psychische Folgewirkungen, Verflechtung der Angaben mit anderen Geschehnissen und das Nichtsteuerungskriterium (inhaltlich und chronologisch nicht geordnete, sprunghafte Wiedergabe; vgl. zu allem die ausführlichen Darstellungen bei BGH NJW 1999, 2746; Wendler/Hoffmann, Technik und Taktik der Befragung im Gerichtsverfahren, 2009; Bender/Nack/Treuer, Tatsachenfeststellung vor Gericht, 3. Aufl. 2007).

Vorliegend sind solche Merkmale in ausreichendem Maße nicht erkennbar. Die Bekundungen des Zeugen C sind nicht detailreich und teilweise in Widerspruch zum Vortrag der Beklagten. An den genauen Ablauf des Gesprächs vermochte sich der Zeuge nicht mehr zu erinnern. Entgegen des Vortrags der Beklagten hat der Zeuge bekundet, zu Beginn des Gesprächs eine Identifikation der Klägerin mit Hilfe ihrer Adresse, ihres Geburtsdatums und ihrem vollen Namen durchgeführt zu haben, womit er sich in Widerspruch zum Vortrag der Beklagten gesetzt hat. Die Kammer verkennt dabei nicht, dass seit dem gegenständlichen Telefonat einige Zeit vergangen ist, der Zeuge freimutig Erinnerungslücken eingestanden und sich im Kern auf den Inhalt einer an die Leiterin der betreuenden Geschäftsstelle gerichteten E-Mail bezogen hat. Diese E-Mail ist allerdings erst sechs Tage nach dem gegenständlichen Telefonat verfasst worden, wobei der unmittelbar nach dem Telefonat angefertigte Vermerk des Zeugen demgegenüber sehr kurz und knapp ausgefallen ist. Dabei hat der Zeuge nicht nachvollziehbar und überzeugend zu erläutern vermocht, weshalb er in den unmittelbar nach dem Telefonat angefertigten Vermerk Ausführungen dazu, dass das Versenden per E-Mail dem ausdrücklichen Wunsch der Klägerin entsprochen habe, schon zur eigenen Absicherung nicht niedergelegt hat, zumal er selbst eine postalische Versendung empfohlen haben will und für ihn der Vorfall besonders war, da erstmals eine Gesundheitsakte elektronisch versandt habe.

Die Kammer erachtet einen Schmerzensgeldbetrag in Höhe von 4.000,00 EUR als ausreichend, aber auch angemessen.

Bei der Höhe des anzusetzenden Schmerzensgelds kommt es auf den konkreten Einzelfall an. Bußgeldkriterien können in der Bemessung berücksichtigt werden, müssen aber stärker im Lichte des Kompensations- und nicht des Strafcharakters eingestellt werden, um eine sog. Doppelbestrafung zu vermeiden. Ausgangspunkt der Betrachtung ist stets, welche Daten abgeflossen sind und welche Folgen dies haben kann und/oder bereits hatte. Je intimer, finanziell bedrohlicher, potentiell ehrverletzender oder kränkender und persönlich gewichtiger die abgeflossenen Daten sind, desto höher fällt der immaterielle Schaden aus. Dabei ist auch die Verknüpfbarkeit von Daten zu berücksichtigen (etwa mit Hilfe von Metadaten). Metadaten erlauben bei entsprechender Menge und Beziehbarkeit auf andere eine Profilbildung, die Einblicke in das Intimleben erlaubt. Die die Schadensersatzhöhe beeinflussende Faktoren auf Seiten des Verantwortlichen können etwa das Ausmaß der Pflichtverletzung(en) sein. In diesem Zusammenhang auch relevant sind der Grad des Verschuldens, das Verhalten des Verantwortlichen nach dem Vorfall gegenüber dem Betroffenen sowie das Ob und Wie von Maßnahmen zur Schadensvermeidung oder -minimierung (vgl. Dickmann, r+s 2018, 345, 353 f.). Bemessungsfaktor für die Höhe der Entschädigung ist damit auf einer objektiven Ebene zunächst die Art und Intensität der Verletzungshandlung, die Kategorie der betroffenen personenbezogenen Daten, der Umfang der „verloren gegangenen Daten“, der zeitliche Umfang der Datenschutzrechtsverletzung, der Umgang des datenverarbeitenden Verantwortlichen mit der Datenschutzrechtsverletzung, die Unternehmensgröße des datenverarbeitenden Verantwortlichen und die an ihn zu stellenden Ansprüche bezüglich der Datensicherheit, Organisation und technische Maßnahmen. Auf einer subjektiven Ebene ist der Verschuldensgrad des Verantwortlichen sowie die subjektive Empfindung des Betroffenen vor dem Hintergrund der verlustig gegangenen Daten zu berücksichtigen.

Unter Zugrundelegung der vorgenannten Maßstäbe hat die Kammer die besondere Art und Intensität der Verletzungshandlung, welche in die absolut geschützte Intimsphäre der Klägerin eingriff, berücksichtigt. Bei Daten, die – wie vorliegend – im Kern die Gesundheit der vorangegangenen drei Jahre betreffen, findet nach den Grundsätzen der DSGVO ein erhöhtes Schutzniveau Anwendung. Denn bei diesen Daten handelt es sich um besonders sensible Daten nach Art. 9 DSGVO, deren Verarbeitung nur unter besonderen Umständen überhaupt zulässig ist.

Die Kammer hat darüber hinaus beachtet, dass aufgrund des unverschlüsselten Versands der der E-Mail anliegenden Gesundheitsakte nicht sicher ausgeschlossen werden kann, dass ein unbefugter Dritter die – ebenfalls unverschlüsselt versandte – E-Mail einschließlich Anlage auf dem Übermittlungsweg mitgelesen haben könnte. Zwar steht zur Überzeugung der Kammer aufgrund der überzeugenden, nachvollziehbaren und übereinstimmenden Bekundungen der Zeugen T und L fest, dass auf die Empfängeradresse bereits seit ihrer Erstellung Anfang 2018 und damit vor Eingang der streitgegenständlichen E-Mail nicht zugegriffen worden ist. Zudem ist die Empfängeradresse durch die Bemühungen der Beklagten in der Zwischenzeit zur Überzeugung der Kammer aufgrund der glaubhaften und nachvollziehbaren Bekundungen des Zeugen L deaktiviert worden. Sowohl der Zeuge T als auch der Zeuge L haben entsprechende Tatsachen bekundet und anschaulich die Kontakte zu dem E-Mail-Provider beschrieben. Diese Umstände vermögen aber die (berechtigte) Sorge der Klägerin, dass ein unbefugter Dritter Einblicke in ihre Gesundheitsakte auf dem ungeschützten Übermittlungsweg erlangt haben könnte, nicht vollständig auszuräumen. Denn ein Mitlesen einer unverschlüsselten E-Mail ist gerichtsbekannt technisch ohne Weiteres möglich. Dies ist der Kammer nicht nur aus einer Vielzahl von entsprechenden Presseberichterstattungen, sondern auch aufgrund einiger strafrechtlichen Entscheidungen in diesem Bereich bekannt. Gerichtsbekannt kann ein Zugriff (unbefugter) Dritter auf den ungeschützten Übermittlungsvorgang einer E-Mail weder durch den Versender noch durch den Empfänger nachvollzogen werden, so dass dem Beweisantritt der Beklagten insoweit auch nicht nachzugehen war. Damit bleibt für die Klägerin nach wie vor die subjektiv nicht vollständig auszuräumende Befürchtung, dass ein Dritter, der in den Besitz ihrer Gesundheitsdaten gelangt sein könnte, diese sich für einen Identitätsdiebstahl, -betrug oder eine andere Form des Datenmissbrauchs nutzbar machen könnte. Denn die Gesundheitsakte enthielt detailliert u.a. die dreijährige Krankengeschichte der Klägerin nebst ihrem Klarnamen und der Versicherungszeit. Die Gesamtheit der in der elektronischen Gesundheitsakte enthaltenen Daten der Klägerin ist jedenfalls dazu geeignet, ein Gesundheitsprofil der Klägerin zu erstellen. Dies stellt einen aus Sicht der Klägerin spürbaren Nachteil dar, welcher zugleich objektiv nachvollziehbar und mit Blick auf die persönlichkeitsbezogenen Belange auch schweres Gewicht hat.

Die Kammer hat weiter das Verhalten der Beklagten nach Kenntnisnahme der fehlerhaften Empfängeradresse, d.h. der Verletzung der DSGVO, berücksichtigt. Zwischen der Kenntnisnahme und dem Versuch, die E-Mail erstmalig zurückzuholen, lagen drei Tage. Das Tätigwerden nach Kenntniserlangung war damit zwar nicht mehr unverzüglich, doch aber noch ausreichend rasch, um allein in dem Zeitablauf einen schmerzensgelderhöhenden Umstand nicht zu begründen. Diese Zeit verging auch bis zur Aussprache eines Verwertungsverbots gegenüber dem Empfänger der E-Mail. Dass die Abteilung für Informationssicherheit erst Anfang Januar 2019 mit der Prüfung der Möglichkeiten eines Zurückholens beauftragt worden ist, nachdem der Datenschutzbeauftragte der Beklagten sich dem Vorgang angenommen hatte, kann dabei als in gewisser Weise zögerliches Verhalten bewertet werden. Ebenso hat die Kammer bedacht, dass die Beklagte eine formale (schriftliche) Entschuldigung in eigenem Namen an die Klägerin nicht verfasst hat, sondern sich allein der Zeuge C entschuldigt hat. Dass der Zeuge L sich erst am 14.08.2019 erneut an den Provider wandte, um sich nach der Empfängeradresse zu erkundigen, vermag den Schmerzensgeldanspruch der Klägerin nicht weiter zu erhöhen. Dass auf das Postfach der Empfängeradresse nicht zugegriffen wurde, stand für die Beklagte bereits Anfang Januar 2019 ausreichend sicher fest. Dass der Anruf letztlich zur Deaktivierung des Postfachs führte, führt zu keinem anderen Ergebnis, da letztlich ein Mitlesen auf dem Übertragungsweg möglich bleibt und eine Deaktivierung der E-Mailadresse nach den Nutzerbedingungen des Providers zur Überzeugung der Kammer aufgrund der glaubhaften und überzeugenden Angaben der Zeugen T und L auch ohne Aktivwerden der Beklagten erfolgt wäre.

Schmerzensgelderhöhend berücksichtigt hat die Kammer ferner, dass die Beklagte als sehr große Krankenkasse mit einer Vielzahl von Versicherungsnehmern zu einem besonders sensiblen Umgang mit Gesundheitsdaten verpflichtet ist. Dieser Verpflichtung ist die Beklagte ersichtlich nicht nachgekommen, da sie technische und organisatorische Vorkehrungen zur Verhinderung des unverschlüsselten Versands von Gesundheitsakten nicht getroffen hat. Das Verhalten des Mitarbeiters, welches der Beklagten vorliegend zuzurechnen ist (vgl. § 278 Satz 1 BGB), war durch ein besonders hohes Maß an Sorgfaltswidrigkeit geprägt, da der Zeuge C die unternehmensinternen Vorgaben der Beklagten in besonders gravierendem Maße missachtete und eine sichere Übermittlungsform der Gesundheitsakte gerade nicht ausgewählt hat (einen Hinweis auf die Möglichkeiten des Online-Portals hat er gegenüber der Klägerin unterlassen). Hinzu kommt, dass der Zeuge C unstreitig keine Identitätsabfrage während des Gesprächs, keine Pseudonymisierung der Inhalte der Gesundheitsakte vorgenommen und auch keine Test-E-Mail an die Klägerin versendet hat. Zudem ist nicht nur die anliegende Gesundheitsakte, sondern die gesamte E-Mail unverschlüsselt versandt worden.

Auf subjektiver Ebene war zu berücksichtigen, dass die Klägerin zwar infolge des Verstoßes zur Überzeugung der Kammer einen pathologischen Zustand nicht erlitten hat, sie sich aber für einen nicht unerheblichen Zeitraum in einer persönlich belastenden Situation befand. Dieser Zustand war in den drei Tagen der Ungewissheit zwischen dem 14. und 17.12.2018 erheblich und dauerte mit Blick auf das auf Seiten der Klägerin in Bezug auf die Inhalte der Gesundheitsakte empfundene Schamempfinden in der Folge weiter an, da ein sicherer Ausschluss, dass ein unbefugter Dritte die E-Mail einschließlich Anlage mitgelesen haben könnte, nicht möglich ist.

Auf die Höhe des Schmerzensgelds nicht nachteilig ausgewirkt hat sich der Umstand, dass die Klägerin sich bei dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit beschwert hat. Dass die Klägerin hieraus eine Genugtuung abzuleiten vermocht hätte, hat die Beklagten weder ausreichend vorgetragen noch ist dies ersichtlich. Dass der Beklagten aus der Beschwerde Nachteile erwachsen sind und die Klägerin hiervor Kenntnis genommen hat, hat die Beklagte nicht vorgetragen.

In diese Linie fällt der Umstand, dass der von der Beklagten verursachte Schaden irreversibel und nicht mehr wiedergutzumachen ist („das Internet vergisst nichts“) und eine weitere (künftige) Schadensvertiefung nicht sicher ausgeschlossen werden kann.

Der Umstand, dass der Zeuge C zur weiteren internen Aufklärung des Sachverhalts die streitgegenständliche E-Mail nebst Anlage an seine Vorgesetzten versendet hat, vermag indes den Schmerzensgeldbetrag nicht zu erhöhen. Die zwar unverschlüsselte Versendung erfolgte über einen internen E-Mail-Server der Beklagten, wodurch ein Mitlesen Dritter ausgeschlossen ist. Das insoweit einfache Bestreiten der Klägerin in Bezug auf den gebrauchten Server ist mit Blick auf den substantiierten Vortrag der Beklagten mit Schriftsatz vom 31.01.2020 (Bl. 74 d.A.) nicht ausreichend, § 138 Abs. 2 ZPO. Daneben ist berücksichtigt worden, dass die Beklagte den Verstoß gegen die DSGVO bei der zuständigen Stelle gemeldet hat.

Aus den vorstehenden Erwägungen folgt die Begründetheit des Feststellungsantrags, da sich der Anspruch der Klägerin mit der erforderlichen Sicherheit noch immer in der Fortentwicklung befindet.

Der Anspruch der Klägerin auf die Verzugszinsen sowie die Freistellung von vorgerichtlichen Rechtsanwaltskosten folgt aus §§ 280 Abs. 1, 2, 286 Abs. 1 Satz 1, 187 Abs. 1 BGB bzw. §§ 280, 249 BGB, wobei sich die Höhe des dem Freistellungsanspruch zugrundeliegenden Gegenstandswerts nach dem vorliegend zugesprochenen Betrag richtete.

III.

Die prozessualen Nebenentscheidungen beruhen auf §§ 92 Abs. 1 Satz 1 Alt. 2, 709 Satz 1 und 2 ZPO.