Kann ein DSGVO-Schadenersatzanspruch abgetreten werden?

| Kann ein DSGVO-Schadenersatzanspruch abgetreten werden? Ja, in bestimmten Fällen schon, sagt das OLG Hamm. |

Der Fall

Die Beklagte betrieb im Jahr 2021 ein Impfzentrum in C., in dem Impfungen gegen das Coronavirus SARS-CoV-2 durchgeführt wurden. Dort war eine aus Mitarbeitern der Beklagten bestehende sog. „Koordinierende Einheit“ mit der Terminverwaltung betraut. Aufgrund eines Fehlers wurde an 1.200 Personen eine E-Mail mit einem ungeschützten Excel-Anhang verschickt. Unmittelbar nach Versand der E-Mail wurde der Fehler bemerkt und die versandte E-Mail zurückgerufen, was in bis zu circa 500 Fällen erfolgreich war.

Die Excel-Dateien enthielten personenbezogene Daten von rund 13.000 Personen, die einen Termin zur Durchführung einer Impfung im von der Beklagten betriebenen Impfzentrum gebucht hatten. Neben Vor- und Nachnamen, Anschrift und Geburtsdatum waren Angaben zum vorgesehenen Impfstoff und zur Frage enthalten, ob es sich um die erste oder zweite Impfung handelte. Soweit die Personen bei der Terminbuchung auch eine Telefonnummer und/oder eine E-Mail-Adresse angegeben hatten, waren auch diese Daten in der Datei enthalten. Die Klägerin sammelte die Ansprüche der Betroffenen und machte dann in 532 Fällen einen DSGVO-Schadenersatz nach Art. 82 DSGVO in Höhe von jeweils 800 EUR geltend. Sie trug vor, dass die Ansprüche in allen Fällen an sie abgetreten worden seien.