Unverschlüsselte E-Mails mit Einwilligung möglich
Das OLG Düsseldorf hat einer Versicherten wegen einer falsch versandten E-Mail ein Schmerzensgeld in Höhe von 2.000 € zugesprochen. Interessant ist aber auch, dass das Gericht feststellte, dass man durchaus E-Mails unverschlüsselt versenden kann, wenn die betroffene Person einwilligt.
Eine Krankenversicherte brauchte den Inhalt ihrer Gesundheitsakte der letzten drei Jahre. Da sie die Unterlagen sehr schnell noch vor Weihnachten benötigte und daher ein Postversand nicht in Frage kam, bat sie um Übersendung des Inhalts an ihre E-Mail-Adresse. Der Sachbearbeiter notierte sich ihre E-Mail-Adresse, vertippte sich aber bei dem E-Mail-Versand bei der Adresseingabe, sodass er die Gesundheitsakte an eine falsche E-Mail-Adresse sendete.
Vor Gericht forderte die Krankenversicherte Schmerzensgeld wegen des in dem fehlerhaften E-Mail-Versand liegenden Datenschutzverstoßes. Die Vorinstanz kam noch zu dem Schluss, dass die Krankenversicherung keine geeigneten technischen und organisatorischen Maßnahmen getroffen habe, um einen unverschlüsselten Versand von Gesundheitsdaten zu verhindern. Dagegen wehrte sich die Krankenversicherung vor dem OLG Düsseldorf und wies darauf hin, dass sie durch unternehmensinterne Richtlinien ein angemessenes Datenschutzniveau gesichert habe.Das OLG Düsseldorf sah zunächst in dem Versand der E-Mail mit der Gesundheitsakte der Versicherten an die falsche E-Mail-Adresse einen Verstoß gegen die DSGVO, da die Rechtsgrundlage für den Versand fehlt. Weder sei eine Einwilligung in die Übersendung an diese fremde E-Mail-Adresse erkennbar, noch liegen andere Rechtmäßigkeitsvoraussetzungen vor. Ausdrücklich weist das Gericht darauf hin, dass durch Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO ein Verzicht auf Anonymisierungs-, Pseudonymisierungs- sowie Verschlüsselungstechniken möglich ist.
So bleibt als Datenschutzverstoß die Tatsache des Falschversands. Da die Versicherte hier die Kontrolle über die Daten verloren hatte und es sich auch um einen bedeutenden Umfang und vor allem um Gesundheitsdaten handelte, bejahte das Gericht einen Schmerzensgeldanspruch in Höhe von 2.000 €.
FAZIT: Es ist nach dem OLG Düsseldorf eine Einwilligung in einen unverschlüsselten Versand von E-Mails möglich, wenn es Alternativen gibt.