VG Köln: Klage auf Widerruf und Auskunft nach E-Mail-Irrläufer mit Gesundheitsdaten unzulässig

Das Verfahren wird eingestellt, soweit die Beteiligten es in der Hauptsache übereinstimmend für erledigt erklärt haben.

Die Klage im Übrigen wird abgewiesen.

Die Kosten des Verfahrens tragen der Kläger zu 5/6 und die Beklagte zu 1/6.

Das Urteil ist für die Beklagte hinsichtlich der Kostenentscheidung gegen Sicherheitsleistung in Höhe von 110 % des Vollstreckungsbetrags vorläufig vollstreckbar. Für den Kläger ist das Urteil hinsichtlich der Kostenentscheidung vorläufig vollstreckbar. Die Beklagte kann die Vollstreckung gegen Sicherheitsleistung in Höhe von 110 % des zu vollstreckenden Betrages abwenden, wenn nicht der Kläger vor der Vollstreckung Sicherheit in gleicher Höhe leistet.                                         

Der Kläger ist Mitglied des Stiftungsrats der Beklagten. Er wurde vom Bundesministerium für Familie, Senioren, Frauen und Jugend - BMFSFJ - auf Vorschlag der thalidomidgeschädigten Personen berufen.

Am 04.03.2016 erreichte den Kläger eine E-Mail der Geschäftsstelle der Beklagten, die an Herrn D.         M.        gerichtet war. Herr M.        ist Bediensteter des BMFSFJ und Vorsitzender des Stiftungsrats. Der E-Mail mit dem Betreff „Neues aus der Geschäftsstelle“ waren nach Angaben der Beteiligten fünf pdf-Dateien beigefügt. Der Kläger forderte die Beklagte auf mitzuteilen, was es mit der E-Mail auf sich habe. Den Anlagen sei u.a. eine Liste mit Verfahren zu entnehmen, die die Deckung spezifischer Bedarfe beträfen und denen jeweils die StC-Nummern (Personenziffern) der Antragsteller und deren Schadenspunkte zugeordnet seien. Die Liste umfasse sämtliche bei der Beklagten gestellten Anträge, bewilligte Leistungen und eingelegte Rechtsbehelfe. Er wolle wissen, wie es zu derartigen Berichten komme, wer hiervon Kenntnis erhalte, ob das BMFSFJ die StC-Nummern den jeweiligen contergangeschädigten Personen zuordnen könne, warum die sensiblen Daten per E-Mail versandt würden und wie es sich mit den datenschutzrechtlichen Belangen gegenüber dem BMFSFJ verhalte. Die Beklagte antwortete dem Kläger, die an Herrn M.        adressierte E-Mail sei durch Autovervollständigung im Adressfeld versehentlich an ihn, den Kläger, versandt worden. Es handle sich um einen Bericht im Rahmen regelmäßiger Reportings der Geschäftsstelle an die Aufsichtsbehörde. Der Bericht sei an den in der E-Mail ersichtlichen Personenkreis gerichtet. Solche Informationen erhalte auch der Vorstand der Conterganstiftung. Die Datenübermittlung erfolge über den Informationsverbund C.      -C1.    . Dieser gewährleiste eine verschlüsselte und daher sichere Datenkommunikation zwischen den beteiligten Behörden. Ein Personenbezug der Daten, die im Rahmen des Auskunfts- und Auskunftsrechts des BMFSFJ übermittelt würden, könne nicht hergestellt werden. Das BMFSFJ verfüge nicht über eine Liste, anhand der sich die StC-Nummern bestimmten Personen zuordnen ließen. Zu Rentenleistungen erhalte das BMFSFJ keine Informationen. Die Beklagte bat den Kläger unter Hinweis auf seine Verschwiegenheitspflicht, den Irrläufer, der vertrauliche Daten enthalte, zu vernichten.

Im Verlauf des öffentlichen Teils der am 15.06.2016 durchgeführten Sitzung des Stiftungsrats der Beklagten brachte der Kläger den Erhalt des E-Mail-Irrläufers zur Sprache. Er bat, für solche Informationen in den Verteiler aufgenommen zu werden. Dem trat die Vorstandsvorsitzende mit dem Hinweis entgegen, die Daten seien hochvertraulich zu behandeln.

Mit Schreiben vom 24.06.2016 forderte die Beklagte den Kläger auf, im datenschutzrechtlichen Interesse der Betroffenen die uneingeschränkte Löschung der E-Mail vom 04.03.2016 zu bestätigen und sich zu verpflichten, über die Inhalte der E-Mail nebst Anlagen gegenüber Dritten Verschwiegenheit zu wahren. Der Kläger habe die E-Mail entgegen ihrer Aufforderung im öffentlichen Teil der Sitzung thematisiert. Dies habe schon in der Sitzungspause zu Nachfragen von Betroffenen geführt, welche Informationen dem Kläger nun zur Kenntnis gelangt seien. Im Falle künftiger Zuwiderhandlung behalte man sich vor, Schadensersatzansprüche geltend zu machen. Hierauf antwortete der Kläger mit einem an die Beklagte, den Stiftungsrat und den Stiftungsvorstand gerichteten Schreiben vom 25.06.2016, das er per E-Mail einem erweiterten Personenkreis zugänglich machte. Mit ihrem Bestreben, die bloße Erwähnung einer E-Mail zu unterbinden, welche die Interessen der Geschädigten verletze, verfolge die Beklagte das Ziel, ihn mundtot zu machen. Im Übrigen habe er nach § 7 Abs. 6 der Stiftungssatzung ein Recht auf sämtliche Informationen. Dieses Recht erstrecke sich auf die der E-Mail beigefügten Unterlagen.

In der Folge holte die Beklagte eine Beratung durch einen Vertreter der Bundesbeauftragten für Datenschutz und Informationsfreiheit - BfDI - ein, die sich auch auf den Vorfall des E-Mail-Irrläufers bezog. Dieser bot Unterstützung bei der sicheren Versendung von sensiblen Daten per E-Mail an. Er empfahl, die automatische Vervollständigung von Adressen im E-Mail-Programm abzustellen und eine Gruppe für den Report einzurichten. Er verwies darauf, dass auch innerhalb der Stiftung die Persönlichkeitsrechte der Betroffenen sicherzustellen seien. Der Empfänger der E-Mail sei in seiner Eigenschaft als Stiftungsratsmitglied zur Verschwiegenheit verpflichtet. Der Vertreter regte dringend an, ihn mit Strafbewehrung zu verpflichten, über das durch die E-mail Bekanntgegebene Stillschweigen zu bewahren. Der Vertreter der BfDI bat, ihm über das Veranlasste zu berichten.

Die Beklagte forderte den Kläger mit Schreiben vom 28.07.2016 zur Unterzeichnung einer vorformulierten Löschens- und Verschwiegenheitserklärung mit Strafbewehrung auf. Der Kläger habe den Sachverhalt im Rahmen seiner E-Mail vom 25.06.2016 unter Beteiligung Dritter thematisiert. Sein Verhalten lasse eine Wiederholung von Datenschutzverletzungen befürchten. Daraufhin teilte der Kläger mit, er habe die E-Mail vom 04.03.2016 gelöscht und keine personenbezogenen Daten weitergeleitet. Weitergehende Erklärungen werde er nicht abgeben. Er halte es für seine Amtspflicht, im Stiftungsrat auf datenschutzrechtliches Fehlverhalten aufmerksam zu machen. Er fordere daher die Beklagte auf, sich bei ihm zu entschuldigen, zu erklären, dass er sich als Stiftungsratsmitglied keines unrechtmäßigen Tuns schuldig gemacht habe, es zu unterlassen, ihn beim Ausüben seiner Amtspflichten durch ungerechtfertigte Drohungen zu behindern und ihm weitere Informationen zum Versand von E-Mails zu geben. Die Beklagte teilte mit, sie betrachte die Angelegenheit angesichts der Erklärung des Klägers, dass er die Daten gelöscht und nicht weitergegeben habe, nun als erledigt. In der Folge standen die Beteiligten über ihre Prozessbevollmächtigten in Verhandlungen, um den Streit über die fehlgeleitete E-Mail beizulegen. Diese Bemühungen blieben jedoch ohne Erfolg.

Der Kläger hat am 20.10.2016 Klage erhoben.

Ergänzend zu seinem bisherigen Vorbringen führt er zur Klagebegründung aus, der Beklagten sei es offenbar nicht primär um den Schutz der Daten der Betroffenen sondern darum gegangen, ihr Fehlverhalten unter den Teppich zu kehren. Zu diesem Zweck habe sie ihn mit den Schreiben vom 24.06. und 28.07.2016 massiv unter Druck gesetzt. Darin habe sie ihm explizit die „Thematisierung“ der E-Mail vom 04.03.2016 zum Vorwurf gemacht. Hätte er die verlangten Erklärungen unterzeichnet, hätte er die bloße Existenz der E-Mail auch in seiner Eigenschaft als Stiftungsratsmitglied gegenüber Dritten nicht ansprechen dürfen. Im Zusammenhang mit der Aufdeckung des Datenskandals sei er im wichtigen öffentlichen Interesse datenschutzrechtlich berechtigt gewesen, die streitgegenständliche E-Mail samt Anlagen zu sichern. Die Empfehlungen der BfDI beträfen nicht seinen konkreten Einzelfall. Er halte zudem weiter daran fest, dass sein Informationsanspruch als Stiftungsratsmitglied nach der Stiftungssatzung „alle“ und damit auch die in den Anlagen der E-Mail vom 04.03.2016 enthaltenen Informationen umfasse. Auch aus diesem Grund sei er zu deren Löschung rechtlich nicht verpflichtet gewesen. Die aufgetretene Unruhe während der Stiftungsratssitzung gründe im Übrigen nicht darauf, dass er in den Besitz der Daten gelangt sei, sondern auf dem Fehlverhalten der Beklagten.

Ihm stehe ein Widerrufsanspruch als Folgenbeseitigungsanspruch zur Seite. Er sehe sich in seinem allgemeinen Persönlichkeitsrecht dadurch betroffen, dass die Beklagte ihn eines unrechtmäßigen Handelns im Rahmen seiner Stiftungsratsarbeit bezichtige. An einer Klarstellung, dass sein Vorgehen rechtmäßig gewesen sei, habe er insbesondere ein Interesse, um im sensiblen Gefüge des Stiftungsrats, in dem Betroffenenvertreter strukturell unterlegen seien, keine Vorwürfe stehen zu lassen.

Die BfDI habe die Beklagte darauf hingewiesen, dass sie sensible personenbezogene Daten - auch innerhalb der Stiftung - nicht via ungesicherter E-Mail übersenden dürfe. Da die Beklagte sich hieran in der Vergangenheit offenbar nicht gehalten habe und nach eigenem Bekunden derartige Versendungen weiterhin vornehme, sei es ihm als Betroffenenvertreter ein wichtiges Anliegen, Verstöße für die Zukunft sicher auszuschließen. Hierzu benötige er die mit der Klage geltend gemachte Auskunft, welche die Beklagte ihm verweigere. Im Übrigen handle es sich bei dem Datenschutzverstoß nicht um einen Einzelfall.

Die Beklagte müsse dem Gericht die Anlagen der E-Mail vorlegen. Ihre Weigerung spiegele ihre grundsätzliche Haltung gegenüber den Betroffenenvertretern wider, denen sie ständig wesentliche Informationen vorenthalte.

Die Beklagte sei nicht ordnungsgemäß vertreten, da die Vorstandsmitglieder nicht mehr im Amt seien.

In der mündlichen Verhandlung haben die Beteiligten das Verfahren in der Hauptsache übereinstimmend für erledigt erklärt, soweit es dem Kläger im Wege des vorbeugenden Rechtsschutzes zunächst um eine Unterlassung künftiger rechtswidriger Einflussnahme auf seine Stiftungsratstätigkeit gegangen ist.

Der Kläger beantragt nunmehr noch,

              die Beklagte zu verurteilen,

1.) die Behauptungen aus ihren Schreiben vom 24.06. und 28.07.2016 zu widerrufen, dass durch die Thematisierung der E-Mail vom 04.03.2016 mit dem Betreff „Neues von der Geschäftsstelle“, insbesondere im Stiftungsrat, pflichtwidrig und unrechtmäßig gehandelt worden sei und

2.) dem Kläger folgende Informationen zu geben:

a) auf wessen Veranlassung die E-Mail vom 04.03.2016 versandt wurde,

b) ob und gegebenenfalls welche E-Mails und an wen, in ähnlicher Weise wie die E-Mail vom 04.03.2016 mit dem Betreff „Neues von der Geschäftsstelle“, durch die Beklagte verschickt wurden.

Die Beklagte beantragt,

              die Klage abzuweisen.

Sie erklärt, sie sei durch einen ordnungsgemäß besetzten Vorstand vertreten. Dessen Mitglieder seien weiterhin im Amt.

Auf eine Vorlage der Anlagen der E-Mail im Gerichtsverfahren habe sie verzichtet. Die darin enthaltenen personenbezogenen Daten contergangeschädigter Menschen seien geheimhaltungsbedürftig und im Übrigen nicht entscheidungserheblich.

Der Kläger habe in der öffentlichen Stiftungsratssitzung nicht nur den Datenirrläufer angesprochen, sondern auch Anspruch auf diese Daten erhoben. Angesichts der Unruhe der Betroffenen habe sie Anlass zu der Aufforderung an den Kläger gesehen, die Löschung der Daten zu bestätigen und ihre vertrauliche Behandlung zu versichern. Die Betroffenen hätten befürchtet, der Kläger erhalte vertrauliche Informationen über sie. Wegen der Reaktion des Klägers auf ihr Ansinnen sei sie davon ausgegangen, dass er die Daten noch nicht gelöscht habe und auch eine Weitergabe der Daten nicht auszuschließen sei. Daher habe sie in einem weiteren Schritt entsprechend der dringenden Anregung der BfDI eine Unterlassungserklärung mit Strafbewehrung verlangt. Auf die Mitteilung des Klägers, dass die Nachricht gelöscht sei und die vertraulichen Daten nicht weitergegeben würden, habe sie, die Beklagte, über ihre Prozessbevollmächtigten der Klägerseite telefonisch zu verstehen gegeben, sie bestehe nicht mehr auf einer förmlichen Erklärung und könne dies auch schriftlich bestätigen.

Ein Widerrufsanspruch stehe dem Kläger nicht zu. Durch ihre ausschließlich dem Kläger gegenüber getätigten schriftlichen Äußerungen habe sie ihn nicht in seinem allgemeinen Persönlichkeitsrecht verletzt. Mit den Äußerungen werde ihm nicht vorgeworfen, den E-Mail-Irrläufer rechtswidrig thematisiert zu haben. Soweit das Schreiben vom 28.07.2016 einen Verstoß des Klägers gegen seine Rechtspflichten benenne, beziehe es sich darauf, dass er seiner Verpflichtung zur Datenlöschung nicht nachgekommen sei und zu erkennen gegeben habe, dass er Anspruch auf die vertraulichen Gesundheitsdaten contergangeschädigter Betroffener erhebe. Die gewünschte Erklärung habe ihn nicht daran hindern sollen, den ohnehin bereits öffentlich bekannten Vorfall selbst – also die Fehlleitung einer Mail mit sensiblen Daten an ein Organmitglied – anzusprechen. Es stehe ihm frei, den Vorgang als Datenschutzskandal zu bewerten und im Stiftungsrat, gegenüber der Aufsichtsbehörde, der BfDI, in der Politik oder auf seiner Homepage anzusprechen.

Für das Auskunftsbegehren gebe es bereits kein Rechtsschutzinteresse. Die mit der Klage begehrten Informationen lägen dem Kläger bereits vor. Im Übrigen verschlüssele sie mittlerweile sämtliche vertraulichen Unterlagen beim E-Mail-Verkehr und habe auch die Funktion der Autovervollständigung in ihrem E-Mail-Programm abgeschaltet.

Auf ein vom Gericht angeregtes Güterichterverfahren haben sich die Beteiligten nicht verständigen können.

Wegen der weiteren Einzelheiten des Sach- und Streitstands wird auf den Inhalt der Gerichtsakte und der beigezogenen Verwaltungsvorgänge Bezug genommen.

Das Verfahren ist entsprechend § 92 VwGO einzustellen, soweit die Beteiligten es in der Hauptsache übereinstimmend für erledigt erklärt haben.

Die Klage im Übrigen ist nicht zulässig.

Dem Kläger fehlt für das fortgeführte Widerrufsbegehren das erforderliche Rechtsschutzbedürfnis. Das allgemeine Rechtsschutzbedürfnis ist Voraussetzung einer jeden Inanspruchnahme des Gerichts. Eine gerichtliche Sachentscheidung steht nur demjenigen zu, der hierauf zum Schutz seiner Rechte angewiesen ist.

Das ist hier nicht der Fall. Der Kläger benötigt keine gerichtliche Verurteilung der Beklagten zum Widerruf der in Rede stehenden Aussage, um seine Rechte zu wahren. Denn der Vorwurf einer rechtswidrigen Thematisierung der E-Mail vom 04.03.2016, der den Kläger in seinen Rechten beeinträchtigen und Gegenstand eines Widerrufs sein könnte, steht nicht mehr im Raum.

Zwar mag der Wortlaut der verlangten Verpflichtungserklärung, über die „Inhalte der E-Mail“ gegenüber Dritten Verschwiegenheit zu wahren, aus der Warte eines verständigen Empfängers Raum für die Interpretation gelassen haben, der Kläger dürfe niemandem gegenüber zur Sprache bringen, dass eine Mail mit vertraulichen Daten von contergangeschädigten Menschen ungesichert fehlgeleitet wurde. Wer nichts über den Inhalt einer Mail sagen darf, muss auch verschweigen, dass sie sensible Daten von Betroffenen enthält. Ein solches Verständnis wird gestützt durch den in den jeweiligen  Anschreiben vorkommenden Passus, der Kläger habe entgegen der Aufforderung der Beklagten die E-Mail in der Stiftungsratssitzung bzw. unter Beteiligung Dritter „thematisiert“.

Soweit den streitgegenständlichen Schreiben ein derartiger Erklärungsgehalt zu entnehmen gewesen sein sollte, ist dieser jedoch durch die unmissverständliche Einlassung der Beklagten im Gerichtsverfahren beseitigt. Zwischen den Beteiligten ist im maßgeblichen Zeitpunkt der mündlichen Verhandlung unstreitig, dass der Kläger die E-Mail vom 04.03.2016 mit dem Betreff „Neues von der Geschäftsstelle“, insbesondere im Stiftungsrat, thematisieren durfte und dies auch weiterhin darf. Dabei soll er auch den Umstand erwähnen dürfen, dass die fehlgeleitete Mail vertrauliche Daten von Betroffenen enthielt. Das hat die Beklagte schriftsätzlich wiederholt klargestellt. Sie hat ausdrücklich anerkannt, dass es dem Kläger freistehe, die Fehlleitung einer Mail mit sensi-blen Daten an ein Organmitglied im Stiftungsrat, gegenüber der Aufsichtsbehörde, der BfDI, in der Politik oder auf seiner Homepage anzusprechen.

Diese eindeutige Erklärung der Beklagten kann der Kläger auch Dritten vorlegen, soweit sie von den an ihn gerichteten Schreiben Kenntnis erlangt haben.

Das Auskunftsbegehren erweist sich ebenfalls als unzulässig.

Dem unter 2 b) gestellten Antrag des anwaltlich vertretenen Klägers lässt sich schon kaum mit hinreichender Bestimmtheit entnehmen, zu welcher konkreten Mitteilung die Beklagte verurteilt werden soll. Legt man den Antrag unter Heranziehung der Klagebegründung dahin aus, dass es dem Kläger ausgehend von dem Vorfall mit der E-Mail vom 04.03.2016 um die Vermeidung künftiger datenschutzrechtliche Verstöße geht, könnte sein Begehren darauf gerichtet sein, Informationen über ähnliche Mails wie die E-Mail vom 04.03.2016 zu erhalten, die ähnlich ungesichert versendet wurden. Für eine dahingehende Verurteilung ist aber ein Rechtsschutzbedürfnis nicht erkennbar. Der Kläger ist bereits darüber informiert worden, dass

a) die E-Mail vom 04.03.2016 auf Veranlassung des BMFSFJ im Rahmen seiner Aufsicht versandt worden ist und

b) E-Mails wie die vom 04.03.2016 wöchentlich in vergleichbarer Weise an das BMFSFJ verschickt wurden und neben den im CC-Feld genannten Personen auch dem Vorstand zugingen.

Der Kläger ist dem Einwand der Beklagten, sie habe das Informationsbegehren durch ihre Auskünfte bereits erfüllt, nicht substantiiert entgegengetreten. Er hat nicht konkret mitgeteilt, welche Informationen aus seiner Sicht noch ausstehen. Auch in der mündlichen Verhandlung hat der Kläger nicht erläutert, welche im Vorfeld der Klage geltend gemachten Auskünfte über einen früheren Versand von E-Mails ihm noch fehlen, um Datenschutzverstößen für die Zukunft entgegenzuwirken. Hierzu bestand umso mehr Anlass, als die Beklagte mitgeteilt hat, dass sie die in der Vergangenheit praktizierte unverschlüsselte Datenversendung eingestellt und die Autovervollständigungsfunktion im E-Mail-Programm abgeschaltet habe.

Die Kostenentscheidung beruht auf §§ 154 Abs.1, 161 Abs. 2 VwGO.

Soweit das Verfahren in der Hauptsache übereinstimmend für erledigt worden ist, entspricht es billigem Ermessen, den Kläger und die Beklagte zu gleichen Teilen an der Kostentragung zu beteiligen. Dabei berücksichtigt die Kammer, dass beide Beteiligte ihren Beitrag zu einer Fortsetzung des Streits bis in das gerichtliche Verfahren geleistet und damit die entstandenen Kosten veranlasst haben.

Der Kläger hat die Beklagte geraume Zeit darüber im Unklaren gelassen, ob er bereit sei, die Daten der Betroffenen zu löschen und vertraulich zu behandeln. Dieses Verhalten hat dazu beigetragen, dass die Auseinandersetzung eskalierte und die Beklagte sich veranlasst sah, von ihm die Abgabe einer förmlichen Unterlassungserklärung zu verlangen, um ihren datenschutzrechtlichen Verpflichtungen nachzukommen. Dass es andererseits der Beklagten ausschließlich auf die Löschung und vertrauliche Behandlung der sensiblen Daten selbst ankam, nicht aber auf ein Verschweigen ihres Fehlverhaltens im Umgang mit solchen Daten, war im Vorfeld der Klage nicht offensichtlich. Nachdem es der Beklagten bei der Abfassung der Unterlassungserklärung nicht gelungen war, insoweit eindeutige Formulierungen zu wählen, hätte sie zumindest im Nachhinein gegenüber dem Kläger eine Klarstellung vornehmen müssen, um einer Fortsetzung der Auseinandersetzung bis hin zu einem Prozess entgegenzuwirken.

Die Entscheidung über die vorläufige Vollstreckbarkeit folgt aus § 167 VwGO in Verbindung mit §§ 708 Nr.11, 709, 711 ZPO.