Das Oberlandesgericht (OLG) Köln hat in seinem Urteil vom 30.09.2016, Az. 20 U 83/16 entschieden, dass die datenschutzwidrige Weitergabe von Gesundheitsdaten einen Anspruch auf Schmerzensgeld begründen kann, wenn das Recht auf informelle Selbstbestimmung verletzt wird. Das OLG stellte fest, dass zwar das Bundesdatenschutzgesetz (BDSG) keine originäre Rechtsgrundlage für derartigen Schadensersatz bereithält, ein solcher aber über das Bürgerliche Gesetzbuch (BGB) begründet sein kann. Ein Unternehmen macht sich nach Auffassung des OLG als verantwortliche Stelle bei einer datenschutzwidrigen Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten schadensersatzpflichtig, wenn bei diesem ein Schaden entsteht. Hiervon sind auch immaterielle Schäden umfasst.
Sachverhalt:
Das OLG hatte im Berufsverfahren über den Streit der Parteien zu entscheiden, ob die Beklagte gegenüber dem Kläger schadensersatzpflichtig ist. Der Kläger schloss 2010 mit der Beklagten eine Berufsunfähigkeitsversicherung ab. Zu diesem Zeitpunkt war der Kläger Angestellter eines Konzerns dem auch die beklagte Versicherungsgesellschaft angehörte. 2012 machte der Kläger gegenüber der Beklagten Berufsunfähigkeit geltend. Als Begründung hierfür gab er u. a. Depressionen an. Er beantragte die Leistung aus der 2010 abgeschlossenen Versicherung. Die Beklagte führte daraufhin eine Leistungsprüfung durch. Diese ergab, dass der Kläger bei Antragsstellung verschiedene Arbeitsunfähigkeitszeiten und Behandlungen wegen Störungen im psychischen Bereich verschwiegen hatte. Daraufhin verweigerte die Beklagte die Leistung, erklärte die Anfechtung wegen arglistiger Täuschung und erklärte hilfsweise Rücktritt und Kündigung. Das Landgericht Hannover wies die Zahlungsklage des Klägers mit Urteil vom 26.08.2013, Az. 2 O 102/13 ab. Am 13.12.2013 schlossen die Parteien einen Abfindungsvergleich, durch welchen der Versicherungsvertrag aufgehoben und die Beklagte zur Zahlung von 90.000 EUR an den Kläger verpflichtet wurde. Die Beklagte hatte im Vorfeld das Urteil der ersten Instanz über andere Konzerngesellschaften der Arbeitgeberin des Klägers, zukommen lassen, woraufhin diese das Beschäftigungsverhältnis des Kläger zum 15.11.2013 fristlos kündigte.
Die Beklagte hatte nach Auffassung des Klägers keine Berechtigung, das Urteil der ersten Instanz an die Versicherungsgesellschaft weiterzuleiten, da er weder in diese Weitergabe eingewilligt hatte, noch eine Legitimierung durch das BDSG vorliege. Das Landgericht Köln wies die Klage ab, wogegen der Kläger seine Berufung richtete.
Schmerzensgeld- und Schadensersatzansprüche
Aus den §§ 7 und 8 BDSG können sich Schadensersatzansprüche ergeben. § 7 BDSG besagt, dass eine verantwortliche Stelle dem Betroffenen gegenüber schadensersatzpflichtig, wenn diesem durch die Datenverletzung ein Schaden entsteht. Darüber hinaus beinhaltet § 8 BDSG die Schadensersatzpflicht von öffentlichen Stellen, bei einer automatisierten Datenschutzverarbeitung.
Auch die deliktischen Ansprüche aus dem BGB kommen neben den vorstehenden Normen in Betracht, bspw. nach der allgemeinen Schadensersatzpflicht nach § 823 BGB oder aufgrund sittenwidriger vorsätzlicher Schädigung gem. § 826 BGB.
Leiten sich keine originäre Ansprüche auf Schadensersatz oder Schmerzensgeld aus § 7 BDSG ab, so kommen Entschädigungsansprüche aus § 823 Abs. 1 BGB in Betracht, sofern das allgemeine Persönlichkeitsrecht verletzt wird, das im Sinne der Norm als sonstiges Recht betroffen ist. Die Berechnung der Schmerzensgeldansprüche orientiert sich stark am jeweils vorliegenden Einzelfall.
Die Entscheidung
Das OLG Köln sah in der unzulässigen Weitergabe eines Urteils, welches umfangreiche Gesundheitsdaten des Klägers/ Betroffenen enthielt, eine Anspruchsbegründung für einen Schmerzensgeldanspruch gegen die Beklagte. Diese umfasse darüber hinaus auch einen immateriellen Schaden in Form von Schmerzensgeld.
Das Gericht setzte sich ausführlich mit der Tatsache auseinander, dass es sich bei den Gesundheitsdaten des Betroffenen um besondere personenbezogene Daten nach § 3 Abs. 9 BDSG handele und die nach diesem gesetzlich besonders geschützt sind. Eine Weitergabe dieser berührt das allgemeine Persönlichkeitsrecht auf informationelle Selbstbestimmung in besonderem Maße und es umfasst das Befugnis des Individuums, über die Verwendung seiner persönlichen Daten, vorliegend Gesundheitsdaten, selbst zu bestimmen. Eine Berechtigung der Weitergabe innerhalb eines Konzerns ist demnach zu verneinen.
Darüber hinaus war die Beklagte aus dem zwischen den Parteien bestehenden Schuldverhältnis nach § 241 Abs. 2 (evtl. in Verbindung mit § 311 Abs. 2 BGB) zur Verschwiegenheit verpflichtet. Die Rücksichtnahme auf die Interessen des anderen Vertragspartners umfasst auch die Vertraulichkeitspflicht. Sensible Daten des anderen Vertragspartners dürfen demnach keineswegs ohne weiteres offenbart werden, auch dann, wenn dies in Vertragsbedingungen geregelt ist, oder spezialgesetzliche Regelung vorliegt.
Haben Sie Fragen zum Thema Kündigung? Kontaktieren Sie gerne: RA Nicole Schmidt, LL.M. Leistung: Anwaltliche Beratung