Krankenkasse schickt unverschlüsselte E-Mail an falsche Adresse: 2000 Euro Schadenersatz

Wer mit sensiblen Gesundheitsdaten hantiert, muss sicherstellen, dass die Informationen nicht in falsche Hände gelangen. Kunden, deren Versicherungen an dieser Stelle schlampen, können und sollten sich wehren. Dass private Krankenversicherungen einen Gesundheitscheck bei potenziellen Kunden durchführen und diese oft ihre Ärzte und andere Versicherungen von der Schweigepflicht entbinden müssen, ist die eine Sache. Ungeachtet dessen müssen Versicherte aber die Hoheit über ihre Daten behalten und entscheiden dürfen, wem sie welche sensible Gesundheitsinformationen zukommen lassen. Das klappt nicht immer. So auch im Fall eines Versicherten, der von der gesetzlichen in die private Krankenversicherung wechseln wollte. Er bat seine Kasse daher, ihm seine elektronische Gesundheitsakte zuzusenden – auf seine private E-Mail-Adresse. Das allerdings ging gründlich schief. Die Kasse versendete die Daten nicht nur unverschlüsselt, sondern auch noch an den falschen Empfänger. Zwar räumten die Verantwortlichen einen Datenschutzverstoß ein und entschuldigten sich. Als der betroffene Versicherte jedoch 15 000 Euro Schadenersatz für die „seelische Belastung angesichts des unsicheren Verbleibs seiner Daten“ verlangte und zudem Ersatz von Anwaltskosten in Höhe von 1.029,35 Euro forderte, nahm die Konzilianz deutlich ab. Die Kasse wies die Forderung zurück. Stattdessen bot sie an, ohne Anerkennung einer Rechtspflicht 500 Euro zu zahlen. Der Fall wurde streitig.

Datenverlust als seelische Belastung

Vor dem Oberlandesgericht Düsseldorf erzielte der Versicherte allerdings nur einen Teilerfolg. Das Gericht bestätigte zwar, dass die Kasse für den Datenschutzverstoß Schadenersatz zu zahlen habe. Der Versand der Gesundheitsakte der Versicherten an ein falsches E-Mail-Postfach sei als Verstoß gegen die Datenschutzgrundverordnung (DSGVO) zu werten. Danach ist die Übermittlung von Daten nur rechtmäßig, wenn die betroffene Person ihre Einwilligung erteilt. Eine solche Einwilligung lag im konkreten Fall allerdings nur für den Versand der Gesundheitsakte an die eigene E-Mail-Adresse des Versicherten vor. In die Übersendung an ein fremdes E-Mail-Postfach hat der Kunde hingegen nicht eingewilligt. Auch lagen dafür keine im Gesetz normierten Rechtmäßigkeitsvoraussetzungen vor. Anders als die Vorinstanz nahm das OLG am unverschlüsselten Versand der Daten jedoch keinen Anstoß. Durch seine Anfrage habe der Versicherte der Kasse vielmehr zu erkennen gegeben, dass er die Übersendung seiner Gesundheitsakte in E-Mail-Form wünscht. Da er keine besonderen Schutzbemühungen formuliert habe, habe er damit rechnen müssen, dass diese entsprechend seinem Wunsch vorgeht. Damit habe er eine Einwilligung in die unverschlüsselte Übersendung der Krankenakte (allerdings nur an die richtige Adresse) erteilt. Wegen der seelischen Belastungen infolge der Ungewissheit über den Verbleib sensibler Daten standen dem Kunden folglich nur ein Schadenersatzanspruch von 2000 Euro gegen seine Kasse zu (OLG Düsseldorf, Az. 16 U 275/20)

Haben Sie Fragen?

Wie die Aussichten in Ihrem konkreten Fall stehen, kann ein Rechtsanwalt mit genauen Kenntnissen im Arzthaftungsrecht beurteilen. Rechtsanwalt Jürgen Wahl ist Fachanwalt für Medizinrecht und Fachanwalt für Versicherungsrecht. Sie erreichen ihn unter der Telefonnummer 069 / 82 37 66 42 oder per E-Mail unter recht@arzthaftung-offenbach.de