JurPC Web-Dok. 10/2022 - DOI 10.7328/jurpcb202237110

LG Flensburg

Urteil vom 19.11.2021

3 O 227/19

Datenschutzrechtliche Pflichten aus einem Behandlungsvertrag

JurPC Web-Dok. 10/2022, Abs. 1 - 53


Leitsätze:

1. Ein Behandlungsvertrag begründet u.a. die selbständige Nebenpflicht (§ 241 Abs. 1 BGB) des Behandelnden dafür Sorge zu tragen, dass die zur Behandlung und ihrer Dokumentation erhobenen personenbezogenen Daten des Patienten nur zu erlaubten Zwecken verarbeitet werden, sei es durch den Behandelnden selbst oder durch seine Erfüllungsgehilfen.

2. Die Anrufung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD) führt nicht zu einer Hemmung der Verjährung. Das ULD ist keine Streitbeilegungsstelle iSd. § 204 Abs. 1 Nr. 4 BGB.

Tatbestand:

Der Kläger begehrt Schadensersatz und Schmerzensgeld wegen behaupteter unrechtmäßiger Zugriffe auf seine Patientendaten.Abs. 1
Der Kläger war als Chefarzt der Inneren Abteilung des Krankenhauses in N… leitender Angestellter bei der Beklagten, einem Krankenhausträger. Wegen eines Herzinfarkts wurde der Kläger im Jahr 2015 selbst in der kardiologischen Abteilung der Klinik der Beklagten in H… behandelt. Während des Behandlungsverhältnisses griffen Mitarbeiter der Beklagten etwa 150-mal auf die Patientendaten des Klägers zu. In Streit stehen konkret vier Zugriffe, nämlich durch die Assistenzärztin L. P. am 21.05.2015 um 01:39 Uhr, den Chefarzt Dr. L. M. am 18.05.2015 um 09:28 Uhr, den Chefarzt Dr. C. R. am 18.05.2015 um 09:31 Uhr und den Pfleger F. N. am 18.05.2015 um 14:12 Uhr.Abs. 2
Nach Wiederaufnahme seiner Tätigkeit erfuhr der Kläger hiervon. In einem Gespräch mit dem betrieblichen Datenschutzbeauftragten der Beklagten, Herrn O. F., im Jahr 2015 analysierte der Kläger die erfolgten Zugriffe und identifizierte die Berechtigung u.a. der vier oben genannten Zugriffe als fraglich. Der Leiter des Geschäftsbereichs Personal bei der Beklagten, Herr B., holte Stellungnahmen der vier Beschäftigten ein, nämlich aus November 2015 (L. P.), vom 21.10.2015 (Dr. L. M.), 23.10.2015 (Dr. C. R.) und 26.10.2015 (F. N.). Diese entsprechen inhaltlich der Begründung der Beklagten für die erfolgten Zugriffe im hiesigen Rechtsstreit, wegen ihres Inhalts wird auf die Anlagen zum Schreiben des Klägers vom 22.06.2018 an den ULD (Sonderband) Bezug genommen. Mit E-Mail vom 14.12.2015 teilte Herr B. dem Kläger mit, dass er ihm die bis 30.09.2015 reichenden Zugriffsprotokolle sowie per Post den Schriftverkehr mit den Mitarbeitern, d.h. die eingeholten Stellungnahmen, zukommen lassen werde. Zu dem am Ende dieser E-Mail beabsichtigten Gesprächstermin kam es in der Folge nicht. Mit E-Mail vom 15.12.2015 übersandte Herr B. dem Kläger eine ergänzende Liste von Zugriffen ab dem 23.06.2015 bis zum 15.12.2015 und teilte mit, Kopien des Schriftverkehrs mit den Personen, die vor dem 23.06.2015 „einen auf dem (sic) ersten Blick nicht plausiblen Zugriff“ genommen hatten, am Vortrag an den Kläger abgesandt zu haben. Diese Post mit den Stellungnahmen der o.g. Beschäftigten, deren Zugriffsberechtigungen in Streit stehen, erhielt der Kläger auch.Abs. 3
Mit anwaltlichem Schreiben vom 27.06.2017 (Anlage K1, Blatt 8 der Akte) forderte der Kläger die Beklagte auf, Auskunft über unberechtigte Zugriffe und den zukünftigen Schutz seiner Daten zu erteilen. Eine Neubewertung der Vorgänge lehnte der seit Juni 2016 neue Geschäftsführer der Beklagten durch Schreiben vom 19.02.2018 ab (Anlage K2, Blatt 10 der Akte).Abs. 4
Mit Schreiben vom 16.03.2018 wandte sich der Kläger an das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD), u.a. mit der Bitte um Überprüfung des Sachverhalts (siehe Sonderband). Im Rahmen dieses Verfahrens gaben der Kläger und die Beklagte verschiedene Stellungnahmen ab. In der Stellungnahme der Beklagten vom 10.08.2018 heißt es u.a.Abs. 5
„Das Ergebnis der Prüfung der Zugriffe hat ergeben, dass die vier genannten Zugriffe zum Zwecke der Behandlung von Dr. S. nicht erforderlich waren. Aus datenschutzrechtlicher Sicht wurden alle vier Zugriffe von unserem Datenschutzbeauftragten als nicht zulässig bewertet. Dieser Sachverhalt wurde jedoch von der zum Zeitpunkt des aufgenommenen Verstoßes verantwortlichen Geschäftsführung z.T. anders bewertet. … Die Zugriffe waren aus meiner heutigen Sicht nicht zulässig.“Abs. 6
Wegen dieser eingeräumten Unzulässigkeit der Zugriffe unterließ der ULD eine vertiefende datenschutzrechtliche Prüfung und stellte durch Schreiben vom 10.08.2018 (Sonderband) fest, dass die … Zugriffe einen Verstoß gegen die … Vorschriften (Art. 5, 25, 32 DSGVO bzw. des § 22 BDSG) darstellten.Abs. 7
Mit anwaltlichem Schreiben vom 15.01.2019 (Anlage K6, Blatt 18 der Akte) forderte der Kläger die Beklagte nochmals und erfolglos auf, zu den gerügten Datenschutzverletzungen, zu ergriffenen Maßnahmen und dem Vorwurf weiterer unberechtigter Zugriffe Stellung zu nehmen. Mit anwaltlichem Schreiben vom 16.04.2019 forderte der Kläger von der Beklagten erfolglos Schadensersatz in Höhe der Klageforderung.Abs. 8
Zudem war es bis Mai 2019 an mehreren Computern der Beklagten möglich, ohne Zugriffsdokumentation auf das installierte Radiologie-Programm PACS zuzugreifen und dort durch einfache Eingabe etwa des Namens des Klägers dessen Koronarfilm und die bei diesem durchgeführte Dilatation der Herzkranzgefäße einzusehen, ohne dass Zugriff und Berechtigung hätten nachvollzogen werden können.Abs. 9
Der Kläger begehrt Schadensersatz und Schmerzensgeld wegen unberechtigter Zugriffe auf seine Patientendaten.Abs. 10
Er meint, ein Schadensersatzanspruch folge dem Grunde nach aus Art. 5, 25, 32 DSGVO bzw. § 22 BDSG iVm. Art. 82 Abs. 1 DSGVO und § 823 Abs. 1 BGB. Er bestreitet die Gründe für eine Rechtfertigung der gerügten Datenzugriffe:Abs. 11
Hinsichtlich des Zugriffs der Assistenzärztin L. P. bestreitet der Kläger, dass es sich lediglich um einen Bedienfehler und keinen tatsächlichen Zugriff gehandelt habe. Der Kläger bestreitet weiter, dass der Chefarzt Dr. L. M. nur deshalb auf die Patientendaten zugegriffen habe, um ihm einen Krankenbesuch abzustatten. Jedenfalls läge hierin ebenso wenig eine Rechtfertigung des Zugriffs wie eine auch nur mutmaßliche Einwilligung vorliege. Der Kläger bestreitet, dass der Chefarzt Dr. C. R. DRG-Beauftragter des Klinikums N. gewesen und der Zugriff im Rahmen dieser Tätigkeit erfolgt sei. Schließlich bestreitet der Kläger, dass Herr N. auf die Patientendaten zugegriffen habe, um mit Mitarbeitern die Abläufe der Notfallversorgung zu besprechen.Abs. 12
Der Kläger begehrt Ersatz seiner außergerichtlichen Rechtsanwaltskosten in Höhe von 2.897,53 € und hält ein Schmerzensgeld in Höhe von mindestens 20.000 € für angemessen. Wegen der Bemessung des Schmerzensgelds verweist der Kläger darauf, dass mit ca. 150 Zugriffen in einem bedeutenden Ausmaß auf seine Gesundheitsdaten zugegriffen worden sei. Durch deren Bekanntwerden im eigenen beruflichen Umfeld sei die Intim- und Individualsphäre des Klägers schwerwiegend verletzt worden. Wegen der beruflichen Beeinträchtigung, der psychischen Belastung und der langen und noch immer teilweise erfolglosen Aufarbeitung sei ein Schmerzensgeld in der begehrten Höhe zur Abschreckung, v.a. aber der Genugtuung angemessen.Abs. 13
Der Kläger tritt der Einrede der Verjährung entgegen.Abs. 14
Er meint, in dem Gespräch mit dem betrieblichen Datenschutzbeauftragten im Jahr 2015 seien nur Personen identifiziert worden, deren Zugriffsberechtigung fraglich gewesen sei und näher habe untersucht werden sollen. Eine Kenntnis von der fehlenden Berechtigung habe der Kläger erst durch den ULD im Jahr 2018 erlangt.Abs. 15
Zudem sei die Verjährung gehemmt worden.Abs. 16
Zum einen hätten der Kläger und die Beklagte über die den Anspruch begründenden Umstände verhandelt. Diese Verhandlungen hätten mit dem Gespräch mit dem betrieblichen Datenschutzbeauftragen begonnen und angedauert, weil nähere Untersuchungen vereinbart worden seien, die dann aber nicht durchgeführt worden seien. Dann sei es 2017 und am 29.01.2018 zu Gesprächen über die anspruchsbegründenden Umstände gekommen. Schließlich seien die Verhandlungen nach Abschluss der Untersuchungen des ULD zuletzt mit den anwaltlichen Schreiben vom 15.01.2019 (Anlage K6, Blatt 18 der Akte) und 16.04.2019 (Anlage K7, Blatt 21 der Akte) fortgeführt worden.Abs. 17
Zum anderen habe die Hinzuziehung des ULD am 20.03.2018 zu einer weiteren Hemmung geführt, weil dieser als staatlich anerkannte Streitbeilegungsstelle iSd. § 204 Nr. 4 Buchst. a BGB zu qualifizieren sei.Abs. 18
Der Kläger beantragt,Abs. 19
1. die Beklagte zu verurteilen, an den Kläger 2.897,53 € nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 09.05.2019 zu zahlen;Abs. 20
2. die Beklagte zu verurteilen, an den Kläger ein in das Ermessen des Gerichts gestelltes Schmerzensgeld (in Höhe von mindestens 20.000,00 €) nebst Zinsen in Höhe von 5 Prozentpunkten über dem Basiszinssatz seit dem 09.05.2019 zu zahlen.Abs. 21
Die Beklagte beantragt,Abs. 22
die Klage abzuweisen.Abs. 23
Die Beklagte tritt dem Begehren des Klägers vollumfänglich entgegen.Abs. 24
Sie meint, ein Schadensersatzanspruch bestehe bereits dem Grunde nach nicht. Die Beklagte weist zunächst darauf hin, dass der zeitliche Anwendungsbereich der DSGVO nicht eröffnet sei. Auch die Voraussetzungen der Vorschrift des § 823 Abs. 1 BGB lägen nicht vor: Die gerügten Zugriffe auf die Behandlungsdokumentation des Klägers seien gerechtfertigt gewesen.Abs. 25
Hierzu behauptet die Beklagte, die Assistenzärztin L. P. habe die Patientendaten des Klägers nicht bewusst eingesehen. Der Zugriff könne allenfalls aufgrund eines Bedienungsfehlers erfolgt sein, an welchen sich Frau P. nicht erinnere. Herr Dr. L. M. hingegen habe einen „freundschaftlichen Zugriff“ vorgenommen, um zu erfahren, wo sich der Kläger befinde, um diesen dann zu besuchen. Insoweit sei von einer zumindest mutmaßlichen Einwilligung auszugehen. Der Zugriff des Dr. C. R. wiederum sei im Rahmen seiner Tätigkeit als DRG-Beauftragter des Klinikums N. und damit aus dienstlichen Gründen erfolgt. Gleiches gelte für den Zugriff des Pflegers F. N. – dieser sei erfolgt, um mit den Mitarbeitern die Abläufe der Notfallversorgung zu besprechen.Abs. 26
Letztlich komme eine Geldentschädigung des Klägers auch deshalb nicht in Betracht, weil dessen Persönlichkeitsrecht nicht derart schwerwiegend verletzt worden sei, dass dies nicht anders ausgeglichen werden könne. Die Zugriffe stellten schon keine schwerwiegenden Verletzungen des Persönlichkeitsrechts des Klägers dar, weil sie innerbetrieblich und z.T. im Rahmen kollegialen Verhaltens erfolgt seien, ohne dass weitere Personen im und außerhalb des Unternehmens Kenntnis von sensiblen Daten erlangt hätten. Zudem sei das Personal der Beklagten im Anschluss an die Bewertungen des Datenschutzbeauftragten und des ULD intensiv geschult worden.Abs. 27
Die Beklagte erhebt zudem die Einrede der Verjährung. Hierzu trägt sie vor, die gerügten Datenzugriffe seien bereits im Jahr 2015 erfolgt, in diesem Jahr habe der Kläger sie auch als fraglich identifiziert. Dies genüge, um die regelmäßige Verjährung beginnen zu lassen, welche dann mit Ablauf des Jahres 2018 abgelaufen gewesen sei.Abs. 28
Eine Hemmung sei nicht erfolgt. Verhandlungen über eine außergerichtliche Streitbeilegung habe es zwischen 2015 und 2018 nicht gegeben, was sich aus den vom Kläger eingereichten Anlagen K1 und K2 selbst ergäbe. Zu keiner Zeit hätten Verhandlungen über den Anspruch stattgefunden, die zu einer Hemmung der Verjährung führen könnten. Im Juni 2017 habe es zwar Gespräche zwischen den Parteien gegeben, diese hätten allerdings keine Verhandlungen über einen behaupteten Anspruch oder die den Anspruch begründenden Umstände zum Gegenstand gehabt – es sei vielmehr um das Ansinnen des Klägers gegangen, dass seine Daten zukünftig zuverlässig geschützt seien. Auch die Einschaltung des ULD habe nicht zu einer Hemmung der Verjährung geführt. Das ULD sei nicht als staatlich anerkannte Streitbeilegungsstelle tätig geworden, ein Streitbeilegungsverfahren sei nicht durchgeführt worden. Ausweislich des Schreibens des ULD vom 23.03.2018 habe der Kläger das ULD um eine „entsprechende datenschutzrechtliche Prüfung und Bewertung“ gebeten. Das daraufhin eingeleitete Beschwerdeverfahren sei ein öffentlich-rechtliches Verfahren nach § 74 LVwG, als dessen Ergebnis das ULD eine Verwarnung aussprechen oder ein Bußgeld verhängen könne. Eine Hemmung zivilrechtlicher Ansprüche gehe mit einem solchen öffentlich-rechtlichen Verfahren nicht einher, dessen Zielrichtung sei eine völlig andere als die einer Streitbeilegungsstelle im Sinne des § 204 Abs. 1 Nr. 4 BGB.Abs. 29
Wegen des weiteren Sach- und Streitstands wird auf die zwischen den Parteien gewechselten Schriftsätze nebst Anlagen Bezug genommen.Abs. 30
Die Klage ist am 03.07.2019 bei Gericht eingegangen. Die Kammer hat die Akten des ULD LD24-71.41/18.010 beigezogen, den Kläger persönlich angehört und Beweis erhoben durch Vernehmung des Zeugen O. F.; wegen des Ergebnisses der Beweisaufnahme wird auf das Protokoll der mündlichen Verhandlung vom 17.11.2021 Bezug genommen.Abs. 31

Entscheidungsgründe:

I. Die Klage ist unbegründet.Abs. 32
1. Der Kläger hat keinen durchsetzbaren Anspruch auf Zahlung eines Schmerzensgeldes und sonstigen Schadensersatzes wegen der gerügten Zugriffe auf seine Patientendaten im Mai 2015.Abs. 33
a) Ein solcher Anspruch folgt zunächst nicht aus Art. 82 Abs. 1 iVm. Artt. 32 Abs. 4, 25, 5 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.04. 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (im Folgenden: Datenschutz-Grundverordnung, DSGVO) iVm. § 22 Bundesdatenschutzgesetz (im Folgenden: BDSG). Gemäß Art. 99 Abs. 1 und 2 DSGVO tritt diese am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union, geschehen am 04.05.2016, in Kraft und gilt ab dem 25.05.2018. Zum Zeitpunkt der gerügten Zugriffe auf die Patientendaten des Klägers galt die DSGVO somit noch nicht und ist deshalb auf diesen Sachverhalt nicht anwendbar.Abs. 34
b) Ein solcher Anspruch folgt auch nicht aus § 280 Abs. 1, § 241 Abs. 2, § 253, § 630 BGB.Abs. 35
aa) Zwischen den Parteien bestand ein Behandlungsvertrag iSd. § 630a BGB. Ein Behandlungsvertrag begründet u.a. die selbständige Nebenpflicht (§ 241 Abs. 2 BGB) des Behandelnden dafür Sorge zu tragen, dass die zur Behandlung und ihrer Dokumentation (§ 630f BGB) erhobenen personenbezogenen Daten des Patienten nur zu erlaubten Zwecken verarbeitet werden, sei es durch den Behandelnden selbst, sei es durch ihm unterstellte natürliche Personen oder Erfüllungsgehilfen, die Zugang zu den personenbezogenen Patientendaten haben. Es liegt nahe, diese behandlungsvertragliche Nebenpflicht bei einem Krankenhausvertrag ähnlich zu konkretisieren, wie dies der Gesetzgeber in § 36 des Landeskrankenhausgesetzes Schleswig-Holstein (LKHG) getan hat. Danach dürfen Patientendaten u.a. verarbeitet werden, soweit dies zur Erfüllung des Behandlungsvertrags einschließlich der ärztlichen und pflegerischen Dokumentationspflicht erforderlich ist, soweit der Patient nichts anderes bestimmt hat. Letztlich bedarf es hier aber keiner Entscheidung darüber, welchen konkreten Inhalt und welchen Umfang diese behandlungsvertragliche Nebenpflicht hat:Abs. 36
Ohne Erfolg rügt der Kläger, dass es bis Mai 2019 an mehreren Computern der Beklagten möglich war, ohne Zugriffsdokumentation auf das installierte Radiologie-Programm PACS zuzugreifen, ohne dass Zugriff und Berechtigung hätten nachvollzogen werden können. Es ist weder vorgetragen noch sonst ersichtlich, dass hier tatsächlich auf Patientendaten des Klägers zugegriffen wurde. Es ist schon zweifelhaft, ob die bloße theoretische Möglichkeit hierzu eine Pflichtverletzung im Vertragsverhältnis zum Kläger darstellt. Jedenfalls fehlt es insoweit an der Darlegung eines Schadens des Klägers.Abs. 37
Es bedarf aber auch keiner Feststellungen dazu, ob die Beklagte diese Nebenpflicht durch das Unterlassen organisatorischer Vorkehrungen gegen die vier gerügten Zugriffe auf die Patientendaten des Klägers im Mai 2015 selbst verletzte oder ob es sich bei diesen Zugriffen durch Personal der Beklagten um Verletzungen dieser Nebenpflicht handelte, welche die Beklagte gemäß § 278 BGB zu vertreten hätte.Abs. 38
bb) Ein etwaiger, hieraus folgender Schadensersatzanspruch des Klägers wäre nämlich verjährt und deshalb nicht durchsetzbar (§ 214 Abs. 1 BGB).Abs. 39
(1) Ein etwaiger Schadensersatzanspruch des Klägers unterläge der regelmäßigen dreijährigen Verjährungsfrist (§ 195 BGB).Abs. 40
(2) Diese Verjährungsfrist hätte mit dem Schluss des Jahres 2015 begonnen und mit Ablauf des Jahres 2018 geendet. Die regelmäßige Verjährungsfrist beginnt mit dem Schluss des Jahres, in dem der Anspruch entstanden ist und der Gläubiger von den den Anspruch begründenden Umständen und der Person des Schuldners Kenntnis erlangt oder ohne grobe Fahrlässigkeit erlangen müsste (§ 199 Abs. 1 BGB). Dies wäre hier der Schluss des Jahres 2015 gewesen:Abs. 41
Der Anspruch wäre im Jahr 2015 entstanden, weil die als gerügten Zugriffe auf die Patientendaten des Klägers im Mai 2015 stattfanden. Der Kläger hätte durch das Gespräch mit dem betrieblichen Datenschutzbeauftragten der Beklagten, dem Zeugen O. F., und der nachfolgenden Übersendung der Stellungnahmen der vier Mitarbeiter der Beklagten, jeweils im Jahr 2015, auch Kenntnis von den den Anspruch begründenden Umständen und der Person des Schuldners erlangt.Abs. 42
Anlässlich der Vernehmung des Zeugen F. hat der Kläger persönlich in der mündlichen Verhandlung bestätigt, dass das Gespräch mit dem betrieblichen Datenschutzbeauftragten, in welchem die fraglichen Zugriffe identifiziert worden seien, bereits im Jahr 2015 stattgefunden habe. Der Kläger hat ebenfalls bestätigt, die in dem E-Mails vom 14.12.2015 und 15.12.2015 erwähnte Post mit den Stellungnahmen der Beschäftigten erhalten zu haben. Hiermit hatte der Kläger bereits 2015 die hinreichende Kenntnis von den anspruchsbegründenden Umständen. Der Kläger wusste von den erfolgten Zugriffen auf seine Patientendaten, hat die Berechtigung für die vier streitgegenständlichen Zugriffe als zweifelhaft erkannt und er kannte die Stellungnahmen der vier Beschäftigten und damit deren Begründungen für die Zugriffe. Dies genügt, um die Verjährungsfrist beginnen zu lassen.Abs. 43
Entgegen der Auffassung des Klägers begann die Verjährung nicht erst dann zu laufen, als die internen Ermittlungen der Beklagten zu den Berechtigungen der Zugriffe abgeschlossen waren oder als das ULD Feststellungen hierzu getroffen hat. Die erforderliche Kenntnis von den Anspruchsvoraussetzungen und der Person des Ersatzpflichtigen liegt im Allgemeinen vor, wenn dem Geschädigten die Erhebung einer Schadensersatzklage, sei es auch nur in Form der Feststellungsklage, Erfolg versprechend, wenn auch nicht risikolos, möglich ist. Weder ist notwendig, dass der Geschädigte alle Einzelumstände kennt, die für die Beurteilung möglicherweise Bedeutung haben, noch muss er bereits hinreichend sichere Beweismittel in der Hand haben, um einen Rechtsstreit im Wesentlichen risikolos führen zu können. Auch kommt es grundsätzlich nicht auf eine zutreffende rechtliche Würdigung an. Vielmehr genügt aus Gründen der Rechtssicherheit und Billigkeit im Grundsatz die Kenntnis der den Ersatzanspruch begründenden tatsächlichen Umstände (statt vieler BGH, Urteil vom 27.05.2008 – XI ZR 132/07, juris Rn. 32 mwN). Hier hatte der Kläger bereits im Jahr 2015 Kenntnis aller tatsächlichen Umstände, auf deren Grundlage zumindest – wenn auch nicht risikolos – eine Feststellungsklage hätte erhoben werden können. Die Kenntnis von den gerügten Zugriffen auf seine Patientendaten, von bestehenden Zweifeln an der Berechtigung hierzu und von den Stellungnahmen der Beschäftigten, aufgrund derer er die Berechtigung der Beschäftigten hätte beurteilen können, genügte hierfür. Dies wird durch den vorliegenden Rechtsstreit bestätigt: Der Kläger gründet seine Klage letztlich auf die Umstände und Zweifel, die seinem Informationsstand im Jahr 2015 entsprechen. Der Umstand, dass das ULD mit Schreiben vom 10.08.2018 festgestellt hat, dass die Zugriffe einen Verstoß gegen Vorschriften der DSGVO darstellten, ändert hieran nichts; insoweit handelt es sich um die rechtliche Bewertung der bereits bekannten Umstände durch einen Dritten, auf die es für die Bestimmung des Verjährungsbeginns nicht ankommt.Abs. 44
(3) Die Verjährung wäre auch nicht gehemmt worden (§ 209 BGB).Abs. 45
(11) Die Verjährung wäre zunächst nicht durch Verhandlungen der Parteien gehemmt worden (§ 203 BGB).Abs. 46
Nach der Rechtsprechung des Bundesgerichtshofes ist der Begriff der „Verhandlungen“ im Sinne des § 203 Satz 1 BGB weit auszulegen. Der Gläubiger muss dafür lediglich klarstellen, dass er einen Anspruch geltend machen und worauf er ihn stützen will. Anschließend genügt jeder ernsthafte Meinungsaustausch über den Anspruch oder seine tatsächlichen Grundlagen, sofern der Schuldner dies nicht sofort und erkennbar ablehnt. Verhandlungen schweben schon dann, wenn eine der Parteien Erklärungen abgibt, die der jeweils anderen Partei die Annahme gestatten, der Erklärende lasse sich auf Erörterungen über die Berechtigung des Anspruches oder dessen Umfang ein. Nicht erforderlich ist, dass dabei Vergleichsbereitschaft oder Bereitschaft zum Entgegenkommen signalisiert wird oder dass Erfolgsaussicht besteht (statt vieler BGH, Urteil vom 14.07.2009 – XI ZR 18/08, juris Rn. 16 mwN).Abs. 47
An diesem Maßstab gemessen haben Verhandlungen im Sinne des § 203 BGB zwischen den Parteien in unverjährter Zeit nicht stattgefunden. Anders als der Kläger bewertet die Kammer die Kommunikation zwischen ihm und der Beklagten in der Zeit von 2015 bis 2018 nicht als Verhandlungen iSd. § 203 BGB. Die Parteien mögen dabei über Umstände gesprochen haben, die dem streitgegenständlichen Anspruch zugrunde liegen, etwa die gerügten Zugriffe auf die Patientendaten des Klägers, deren Berechtigungen etc. Erkennbar ist das Ziel des Klägers, Aufklärung zu erlangen und Vorsorge gegen zukünftige vermeintliche Datenschutzverstöße zu treffen. Auch forderte der Kläger die Beklagte immer wieder zu Stellungnahmen zu den gerügten und vermeintlichen weiteren Datenschutzverstößen auf. Weder aus dem Vortrag der Parteien noch aus der gesamten zur Akte gereichten Korrespondenz bis einschließlich 2018 ergibt sich aber, weder ausdrücklich noch konkludent, dass der Kläger gegenüber der Beklagten einen Schadensersatzanspruch geltend machen will. Dies aber ist Mindestvoraussetzung für ein „Verhandeln“ iSd. § 203 BGB, auch wenn dann anschließend jeder Meinungsaustausch hierüber, d.h. auch über die tatsächlichen Grundlagen, genügt. Soweit ersichtlich, begehrt der Kläger erstmals mit anwaltlichem Schreiben vom 15.01.2019 (Anlage K6, Blatt 18 der Akte) Schadensersatz in Form der Erstattung seiner Rechtsanwaltskosten und behält sich „etwaige Schadensersatzansprüche gemäß Art. 82 DSGVO“ vor. Dies geschah allerdings bereits in verjährter Zeit und vermochte eine Hemmung nicht mehr herbeizuführen.Abs. 48
(22) Die Anrufung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein durch den Kläger mit Schreiben vom 16.03.2018 führte ebenfalls nicht zu einer Hemmung der Verjährung. Der Landesbeauftragte ist nicht als staatliche oder staatlich anerkannte Streitbeilegungsstelle iSd. § 204 Abs. 1 Nr. 4 Buchst. a BGB oder als andere Streitbeilegungsstelle iSd. § 204 Abs. 1 Nr. 4 Buchst. b BGB tätig geworden. Trotz der fehlenden zeitlichen Anwendbarkeit der DSGVO (dazu oben) ist das ULD, dokumentiert etwa im Schreiben des ULD vom 16.07.2018 (Sonderband), aufgrund der Beschwerde des Klägers nach Art. 77 DSGVO im Rahmen eines aufsichtsbehördlichen Verfahrens gemäß § 74 LVwG tätig geworden, in dessen Ergebnis gemäß Art. 58 Abs. 2 DSGVO Abhilfebefugnisse wie etwa eine Verwarnung, Beschränkungen oder Geldbußen hätten ausgesprochen bzw. verhängt werden können, wovon das ULD letztlich aber absah. Dieses Verwaltungsverfahren ist auf die Überprüfung etwaiger Datenschutzverstöße, deren Sanktionierung und zukünftige Verhinderung gerichtet, nicht aber auf die Beilegung eines Streits zwischen Parteien über einen erhobenen, individuellen Anspruch. Im Übrigen muss für einen wirksam hemmenden Streitbeilegungsantrag - wie bei allen in § 204 Abs. 1 BGB genannten Rechtsverfolgungshandlungen und Verfahren - ein bestimmter Anspruch bezeichnet werden. Nur im Umfang des geltend gemachten Anspruchs erfolgt eine Hemmung. Antragsgegner, Streitbeilegungsstelle und einem ggf. später befassten Gericht muss es möglich sein, Art, Umfang und Tatsachenbasis einer Forderung zu identifizieren (zum Ganzen BeckOGK-BGB/Meller-Hannich, Stand 01.09.2021, § 204 BGB Rn. 176 mwN). Einen solchen individualisierten (Schadensersatz-) Anspruch hat der Kläger bei Anrufung des ULD weder geltend gemacht noch ist ein solcher Gegenstand des Verwaltungsverfahrens vor dem ULD. Auch dies zeigt, dass dieses Verwaltungsverfahren nicht auf Beilegung eines Streits zwischen Parteien über einen erhobenen Anspruch ausgerichtet und deshalb kein Streitbeilegungsverfahren ist, das ULD ist keine Streitbeilegungsstelle.Abs. 49
(33) Die Klage ist am 03.07.2019 und damit in verjährter Zeit bei Gericht eingegangen, so dass die Erhebung der Klage die Verjährung ebenfalls nicht mehr zu hemmen vermochte (§ 204 Abs. 1 Nr. 1 BGB).Abs. 50
c) Schließlich folgt ein solcher Anspruch auch nicht aus § 823 Abs. 1 BGB wegen einer mit den streitgegenständlichen Zugriffen etwa einhergehenden Verletzung des Allgemeinen Persönlichkeitsrechts des Klägers. Auch insoweit bedarf es keiner weitergehenden Feststellungen, weil auch ein solcher Anspruch der regelmäßigen Verjährung unterläge und verjährt wäre. Zur Vermeidung von Wiederholungen wird auf die obigen Ausführungen Bezug genommen.Abs. 51
2. Mangels Anspruchs in der Hauptsache hat der Kläger auch keinen Anspruch auf die begehrten Zinsen.Abs. 52
II. Die Kostenentscheidung folgt aus § 91 Abs. 1 ZPO. Die Entscheidung über die vorläufige Vollstreckbarkeit beruht auf § 709 ZPO.Abs. 53

(online seit: 25.01.2022)
Zitiervorschlag: Gericht, Datum, Aktenzeichen, JurPC Web-Dok, Abs.
Zitiervorschlag: Flensburg, LG, Datenschutzrechtliche Pflichten aus einem Behandlungsvertrag - JurPC-Web-Dok. 0010/2022