DSGVO in der Arztpraxis

DSGVO: Zivilrechtliche Folgen einer Datenschutzverletzung

Bereits letztes Jahr befasste sich der HDI-Medletter mit dem Thema DSGVO und wies auf die für jeden Verantwortlichen bestehenden notwendigen Maßnahmen hin, ein sinnvolles Datenschutzkonzept und ein Datenschutzmanagement durchzuführen und einzuhalten. Als Fazit sollte sich jeder bewusst machen, dass die Verpflichtungen aus der DSGVO nicht nur gegenüber Ihren Patienten gelten, sondern auch zugunsten Ihrer Mitarbeiter. Daher raten wir Ihnen auch weiterhin, sich über dieses Thema gut zu informieren. Informationen finden Sie auch bei Ihrer zuständigen Ärztekammer. Diese stellt Ihnen u.a. zahlreiche Entwürfe – z.B. Musterhinweise zur Einwilligung der Datenspeicherung – zur Verfügung.

Wie vielfältig die Schadenfälle sein können, beweist der aktuelle Fall zu diesem Thema, der derzeit im Hause HDI bearbeitet wird und beim zuständigen Amtsgericht anhängig ist. Eine der Kernfragen ist in solchen Fällen, wann liegt tatsächlich ein durchsetzbarer Schadensersatzanspruch vor und wie hoch ist dieser zu bewerten.

Die Ausgangssituation

Die Anspruchstellerin und Klägerin bewarb sich im Frühjahr 2018 bei der Versicherungsnehmerin und Beklagten, einer Arztpraxis mit mehreren Angestellten, als MTA, wurde aber letztendlich nicht angestellt. Die Bewerbung erfolgte über ein dafür vorgesehenes Homepageformular, über das auch Bewerbungsunterlagen übermittelt werden können. Problematisch war jedoch, dass nach Erstellung und Einrichtung der Homepage im Jahre 2017 durch ein IT-Unternehmen diese nicht auf Einhaltung (Löschung/Verschlüsselung) des Datenschutzes geprüft wurde. In Folge dessen waren die Daten nicht verschlüsselt und das Verzeichnis, in welchem die Bewerbungsunterlagen zwischengespeichert wurden, war offen zugänglich für Dritte, zum Beispiel auch über eine Googlesuche.
Nach Bekanntwerden des offenen Verzeichnisses wurde die Homepage umgehend gesperrt. Ferner wurde daraufhin der Landesbeauftragte für den Datenschutz und die Informationsfreiheit des Landes (LfDI) informiert sowie sämtliche Bewerber, deren Unterlagen in dem offenen Verzeichnis gespeichert waren.
Die Klägerin macht nunmehr Schadensersatzansprüche wegen der unberechtigten Veröffentlichung personenbezogener Daten durch die Beklagte im Internet nach Art. 82 Abs.1 DSGVO geltend. Art. 82 DSGVO beinhaltet eine verschuldensunabhängige Haftung. Lediglich in Absatz 3 der Vorschrift gibt es eine Entlastungsbeweismöglichkeit, die jedoch sehr streng ausgelegt wird.

Schadensersatzanspruch bei Datenschutzverletzung

Hier im Fall liegt unstreitig eine Datenschutzverletzung im Sinne der DSGVO vor. Die Frage, die jedoch derzeit noch nicht abschließend gerichtlich geklärt ist: Besteht tatsächlich ein Schadensersatzanspruch und wie hoch ist dieser zu bewerten? Grundsatzentscheidungen der höchstrichterlichen Rechtsprechung liegen noch nicht vor.

Nach Art. 82 DSGVO kann der Dritte einen Schadensersatz in Form eines materiellen Schadensersatzes (tatsächlich eingetretener Vermögensschaden, z.B. Kredit nicht gewährt, Arbeitsplatz nicht bekommen etc.) und immateriellen Schadenersatzes (Eingriff in das Persönlichkeitsrecht, Schmerzensgeld) geltend machen.
Ein materieller Schaden ist vorliegend nicht eingetreten bzw. nicht nachgewiesen, streitig ist daher der rein immaterielle Schaden. Eine Datenschutzverletzung impliziert nicht automatisch und pauschal einen immateriellen Schadensersatz.
Voraussetzung ist dafür unter anderem, dass es sich um einen schwerwiegenden Eingriff handelt. Ob eine schwere Persönlichkeitsverletzung vorliegt, bemisst sich hierbei nach objektiven Kriterien und nicht an der subjektiven Empfindlichkeit und hängt insbesondere von der Bedeutung und Tragweite des Eingriffs, ferner von Anlass und Beweggrund des Handelnden sowie vom Grad des Verschuldens ab. (Fußnote: Gola/Piltz DS-GVO Kommentar Art. 82, Rn.12)

Bewertung des Schmerzensgeldes

Hervorzuheben ist der Umstand, dass der europäische Gesetzgeber es sowohl hinsichtlich materieller als auch hinsichtlich immaterieller Schäden für erforderlich hält, dass sich aus einer Datenschutzverletzung negative Folgen für die betroffene Person ergeben müssen.
Dies allein ist hier fraglich.

Selbst wenn so ein schwerwiegender Eingriff bestanden hat und es zu negativen Folgen gekommen wäre, wie hoch ist das „Schmerzensgeld“ zu bewerten? Seitens der Klägerin wird ein Betrag von 2.500 EUR eingeklagt. Vergleicht man die Höhe dieses Betrages mit vergleichbaren Schmerzensgeldansprüchen, befindet man sich hier schnell im Bereich von Verletzungen, die dem Empfinden nach deutlich höher sind. Als Beispiel genannt sei etwas ein Bruch mit dauerhafter Bewegungseinschränkung (OLG München, Urtl. V. 14.03.2013 – 1U 3769/11 usw.).
Es bleibt abzuwarten, wie hier das Gericht den Anspruch dem Grunde und der Höhe nach bewerten wird. Wir werden weiter berichten.

Datenschutz in Arztpraxen

Auch wenn der Prozess noch nicht abgeschlossen ist und derzeit weiter Urteile zu diesem Thema ausstehen, häufen sich die Klagen im Bereich der Datenschutzverletzung, ob berechtigt oder nicht. Damit steigt auch das Potential Schadensersatzleistungen bringen zu müssen.

Daher auch hier der wiederholte Hinweis, dass der Datenschutz auch weiterhin als ein wichtiges und zu beachtendes Thema gerade im Rahmen einer Arztpraxis mit vielen personenbezogenen Daten hoch anzusiedeln ist.

Tipp:
Sollten Sie hier in Anspruch genommen werden, melden Sie die Forderung umgehend Ihrer Haftpflichtversicherung.

Autor: Rechtsanwältin Meike Löchelt, HDI Versicherung AG, Köln

The following two tabs change content below.

Steven Ohle

Steven Ohle

Produktmarketing bei HDI Vertriebs AG

Steven Ohle ist bei der HDI Vertriebs AG in Hannover als Projektleiter für die Kooperation mit arzt-wirtschaft.de verantwortlich.

Seit 2018 betreut Steven Ohle die Berufsgruppen der Freien Berufe mit dem Schwerpunkt Ärzte und Gesundheitsfachberufe.

Anzeige

Schadenfall Berufshaftpflicht: Wichtige Tipps für betroffene Ärzte

Was passiert wenn Ärzte Ansprüchen ihrer Patienten und deren Krankenversicherern ausgesetzt sind, auch ohne eigenes Verschulden oder Fehlverhalten? Mehr
Author's imageSteven OhleProduktmarketing bei HDI Vertriebs AG

Weitere Artikel zum Thema:

Videobeitrag mit Rechtsanwalt Prof. Dr. Volker Großkopf

Datenschutz in der Arztpraxis – Datenschutz-Grundverordnung


Videobeitrag mit Michael Schanz

Fernbehandlungsverbot gekippt



Videobeitrag mit Rechtsanwalt Prof. Dr. Volker Großkopf

Korrekte Patientenaufklärung – was ist zu beachten?


Videobeitrag mit Rechtsanwalt Prof. Dr. Volker Großkopf

Ärztliche Aufklärung von fremdsprachigen Patienten