Datenschutzverstoß durch ungewolltes Versenden von Excel-Tabelle mit personenbezogenen Daten

Durch eine Verkettung unglücklicher Umstände wurde in einem Fall eine E-Mail mit einer Excel-Tabelle als Anhang versandt, die zuvor versehentlich nicht gelöscht worden war. So wurde die Excel-Datei, die nicht durch ein Passwort vor einfachem Zugriff geschützt war, an 1200 Empfänger versandt. Unmittelbar nach dem Versand der E-Mail wurde der Fehler bemerkt und die versendete E-Mail zurückgerufen, was in 500 Fällen erfolgreich war.

Besagte Excel-Datei enthielt von ca. 13.000 Personen, die in der von der Beklagten betriebenen Impfstelle einen Impftermin gebucht hatten. Neben Vor- und Nachnamen, Anschrift und Geburtsdatum waren auch Angaben zum vorgesehenen Impfstoff und dazu, ob es sich um die erste oder zweite Impfung handelte, enthalten.

Soweit die Personen bei der Terminbuchung auch eine Telefonnummer und/oder eine E-Mail-Adresse angegeben hatten, waren auch diese Daten in der Datei enthalten. In Bezug auf den Beschwerdeführer enthielt die Liste seinen Vor- und Nachnamen, seine Anschrift, sein Geburtsdatum, seine Mobiltelefonnummer, seine E-Mail-Adresse, den Impfstoff für die geplante zweite Impfung und das Datum der geplanten Impfung. Dies stellt eindeutig eine Verletzung des Datenschutzes dar.

Das OLG Hamm (11 U 88/22) konnte nun klarstellen, dass (natürlich) auch ein Verstoß gegen Art. 5 Abs. 1 lit. f DSGVO vorliegt, wonach personenbezogene Daten in einer Weise verarbeitet werden müssen, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet – einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.

Die Vorschrift stellt auf eine angemessene Sicherheit personenbezogener Daten durch geeignete technische und organisatorische Maßnahmen ab. Nach Erwägungsgrund 39 S. 12 zur DS-GVO gehört hierzu unter anderem auch, dass unbefugte Personen weder Zugang zu den Daten noch zu den Geräten haben, mit denen sie verarbeitet werden (Schantz, in: Wolff/Brink, BeckOK Datenschutzrecht, 42. Edition, Stand 01.11.2021, Art. 5 DS-GVO Rn. 35 f.).88

Dennoch war die konkrete Datenverarbeitung nicht ausreichend abgesichert, weil der Versand der E-Mails von den beiden damit befassten Mitarbeitern mit der versehentlich nicht entfernten, unverschlüsselten Excel-Datei erfolgte, die den Empfängern nicht zu offenbarende personenbezogene Daten Dritter enthielt. Diese Verarbeitung bewirkte einen unbeabsichtigten Datenschutzverstoß, der bereits eine Verletzung des Art. 5 Abs. 1 Buchst. f DS-GVO darstellt. Ob es zudem eine Anweisung der Beklagten zur grundsätzlichen Verschlüsselung von (Excel-)Dateien mit den Daten zu impfender Personen für die Mitarbeiter der in Frage stehenden Arbeitseinheit im Impfzentrum hätte geben müssen, ist für die Frage des Verstoßes gegen Art. 5 Abs. 1 Buchst. f DS-GVO unerheblich, weil die (unverschlüsselte) Excel-Datei überhaupt nicht hätte versandt werden dürfen.

OLG Hamm, 11 U 88/22

Dabei hebt das OLG hervor, dass die für einen solchen Verstoß grundsätzlich dem Anspruchsteller obliegt, wobei die allgemeine Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO zu Erleichterungen führen soll – was mE eine fehlerhafte Verteilung der Beweislast ist, da die Rechenschaftspflicht insoweit zugunsten des Antragstellers wirkt. Der Höhe nach gab es immerhin 100 Euro Schadenersatz, mehr befand man als nicht notwendig, wobei man wieder zwischen den Zeilen die Sorge vor punitive damages herauslesen kann:

Im Hinblick auf Erwägungsgrund 146 S. 3 zur DS-GVO sollen Schadenersatzforderungen zwar abschrecken und weitere Verstöße unattraktiv gemacht werden (Schaffland/Holthaus, in: Schaffland/Wiltfang, DS-GVO/, Stand: August 2022, Art. 82 DS-GVO Rn. 10b).

Auch vermag sich ein Abschreckungseffekt vielleicht nicht aus dem dem Kläger zuerkannten Betrag ergeben. Allerdings ist hier in den Blick zu nehmen, dass der, der Beklagten zuzurechnende, Verstoß gegen die DS-GVO hier nicht lediglich den Kläger betrifft, sondern eine Vielzahl weiterer Personen, deren personenbezogene Daten ebenfalls in der übermittelten Excel-Datei enthalten waren. Insoweit gehen die Parteien übereinstimmend davon aus, dass die Datei Daten von insgesamt 13.000 Personen enthielt. Dieser Umstand bietet jedenfalls das Potenzial, das sich aus Ansprüchen vieler Betroffener ein durchaus messbarer finanzieller Schadensbetrag bei der Beklagten einstellt.

OLG Hamm, 11 U 88/22
Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht / Technologierecht - ergänzt um Arbeitsrecht.