Das Verwaltungsgericht Köln hat mit Urteil vom 23.02.2023 (Aktenzeichen: 13 K 278/21) ein Schmerzensgeld nach Art. 82 Abs.1 DSGVO zugesprochen, weil das Bundesverwaltungsamt durch ein Versehen neun Rechnungen und Liquidationen verschiedener Fachärzte aus dem Jahr 2019 unter Auflistung der einzelnen Leistungen und zum Teil unter der Benennung von Diagnosen sowie vier Rezepte für Medikamente an einen unbeteiligten Dritten. Im Gegenzug wurde dem Kläger mit einem Bescheid Belege zurückgesandt, die der Behörde von einer anderen Person eingereicht wurden.
Der Kläger machte daraufhin gegenüber dem Bundesverwaltungsamt einen Schadensersatzanspruch gemäß Art. 82 DSGVO geltend. Eine Reaktion des Bundesverwaltungsamtes hierauf erfolgte nicht. Der Kläger erhob Klage vor dem Amtsgericht Düsseldorf. Dieses Gericht verwies die Klage zuständigkeitshalber an das Verwaltungsgericht.
Der Kläger war der Ansicht, ihm stehe aufgrund des Fehlversandes seiner Belege an den Dritten ein Anspruch auf Schmerzensgeld DSGVO zu. Der Fehlversand stelle einen schwerwiegenden Verstoß gegen die DSGVO dar. Die Arztrechnungen enthielten Berichte und Diagnosen, welche Rückschlüsse auf seinen Gesundheitszustand und seine Krankheitsbilder ermöglichten. Die Daten seien besonders sensibel. Das Bundesverwaltungsamt habe den Fehlversand auch zu verschulden. Dieser verletze sein allgemeines Persönlichkeitsrecht und sein Recht auf informationelle Selbstbestimmung.
Das beklagte Bundesverwaltungsamt beantragte, die Klage abzuweisen. Die Verwechslung der Beihilfeunterlagen sei ein einmaliger Ausnahmefall gewesen sei. Dem Amt falle allenfalls leichte Fahrlässigkeit zur Last, da es sich um menschliches Augenblicksversagen gehandelt habe. Für die Zukunft seien gleichgelagerte Sachverhalte ausgeschlossen; das Bundesverwaltungsamt habe seine Abläufe dahin umgestellt, dass die Beihilfebelege nicht mehr zurückgesandt, sondern datenschutzkonform vernichtet würden. Der Kläger sei über die Verwechslung umfassend informiert worden. Auch der behördliche Datenschutzbeauftragte sei über den Vorgang informiert worden. Schließlich sei zu berücksichtigen, dass die Daten des Klägers bloß einer einzelnen, dem Kläger unbekannten Person bekannt geworden seien. Von den Daten habe weder ein größerer Empfängerkreis noch sein persönliches Umfeld erfahren.
Das Verwaltungsgericht stellte in seiner Entscheidung fest:
- Dem Kläger steht ein Anspruch auf Zahlung eines Schmerzensgeldes in Höhe von 1.000 € zu. Grundlage dieses Anspruchs ist Art. 82 Abs. 1, Abs. 2 Satz 1, Abs. 3 DSGVO.
- Das Bundesverwaltungsamt hat bei der Verarbeitung der personenbezogenen Daten des Klägers gegen Art. 9 Abs. 1 DSGVO verstoßen. Bei den Beihilfebelegen handelt es sich nicht nur um (einfache) personenbezogene Daten, sondern um besonders sensible Gesundheitsdaten im Sinne von Art. 4 Nr. 15, Art. 9 Abs. 1 DSGVO.
- Wegen dieses Verstoßes ist dem Kläger ein immaterieller Schaden entstanden. Art. 82 Abs. 1 DSGVO erfasst ausdrücklich nicht nur materielle, sondern auch immaterielle Schäden. Der Schadensbegriff ist – wie sich aus Erwägungsgrund 146 Satz 3 der DSGVO ergibt – weit auszulegen. Als Beispiele für Schäden benennt Erwägungsgrund 75 DSGVO Diskriminierung, Identitätsdiebstahl oder -betrug, finanziellen Verlust, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden personenbezogenen Daten, unbefugte Aufhebung der Pseudonymisierung oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile.
- Zudem ist die Verarbeitung von personenbezogenen Daten, aus denen die rassische oder ethnische Herkunft, politische Meinungen oder religiöse oder weltanschauliche Überzeugungen hervorgehen, sowie von genetischen Daten, Gesundheitsdaten oder das Sexualleben oder strafrechtliche Verurteilungen betreffenden Daten als ein Schaden anzusehen.
- Die unzulässige Versendung der Beihilfebelege des Klägers an den Dritten begründet einen immateriellen Schaden. Das entspricht dem weiten Schadensverständnis des europäischen Gesetzgebers und deckt sich mit den Wertungen des Erwägungsgrunds 75 der DSGVO. So liegt ein immaterieller Schaden bereits darin begründet, dass der Dritte aufgrund des Fehlversands durch Bundesverwaltungsamt zwangsläufig einen Einblick in die Beihilfebelege des Klägers genommen hat. Diese Gesundheitsdaten erfahren nach Art. 9 Abs. 1 DSGVO einen besonderen Schutz. Sie enthalten Informationen über die engere Privatsphäre bis zur Intimsphäre des Klägers. Ihre Offenbarung gegenüber dem Dritten führt bei dem Betroffenen zu einem Verlust an Vertraulichkeit und einer Bloßstellung.