Das Arbeitsgericht (ArbG) Duisburg hat mit Urteil vom 26.09.2024 (Az.: 3 Ca 77/24) entschieden, dass die unerlaubte Veröffentlichung von Gesundheitsdaten eines Arbeitnehmers einen Schadensersatzanspruch in Höhe von 10.000 Euro nach der Datenschutz-Grundverordnung (DSGVO) rechtfertigen kann.
Worum ging es?
Der Kläger ist bei einem Verein angestellt, bei dem die Beklagte im relevanten Zeitraum Präsidentin war. Nach Diskussionen zwischen dem Kläger und der Beklagten über die Führungsqualitäten des geschäftsführenden Präsidiums sowie des Geschäftsführers erkrankte der Kläger für einen längeren Zeitraum.
In dieser Zeit versandte die Beklagte zunächst eine E-Mail an 24 Personen, in welcher sie die gesundheitliche Situation des Klägers sowie deren Ursachen thematisierte. Einige Monate später folgte ein Rundschreiben der Beklagten an sämtliche Vereinsmitglieder, in dem sie sowohl die krankheitsbedingte Abwesenheit des Klägers als auch die zurückliegenden Diskussionen über Führungsqualitäten sowie die zwischenzeitlich ausgesprochene Kündigung des Klägers thematisierte.
Die Kündigung wurde in der Folge zurückgenommen, sodass der Kläger weiterhin für den Verein tätig ist. Die Beklagte hingegen wurde als Präsidentin abgewählt und ist aus dem Verein ausgeschieden.
Der Kläger machte vor Gericht geltend, die Beklagte habe ihn durch die Veröffentlichung sensibler Daten über seine Erkrankung und deren Dauer in den E-Mails in seinem sozialen Geltungsanspruch herabgewürdigt und erniedrigt. Sie habe zudem den Eindruck erweckt, er schädige den Verein durch vorgetäuschte Krankheit.
Er tat dies, nachdem die Präsidentin des Vereins bestimmte Gesundheitsdaten des Arbeitnehmers in E-Mails an rund 10.000 Mitglieder des Vereins veröffentlicht hatte. Eine der E-Mails hatte dabei folgenden konkreten Wortlaut:
„Liebe Verbandsmitglieder, liebe Luftsportlerinnen und Luftsportler,
mit diesem Rundschreiben informiere ich euch darüber, dass sich seit November 2022 unser Leiter der Approved Training Organisation (ATO), L., im Krankenstand befindet. Dennoch hat er in dieser Zeit damit begonnen, haltlose wie auch unbelegbare Vorwürfe sowohl gegen unseren Geschäftsführer B. als auch gegen meine Person zu erheben, womit er offensichtlich die Diskreditierung des Geschäftsführers sowie der Präsidentin verfolgt.
Das geschäftsführende Präsidium wurde daraufhin sehr aktiv und hat mehrfach L. um einen Gesprächstermin gebeten, um mit ihm in einem konstruktiven Dialog wieder ein vertrauensvolles Arbeitsverhältnis herzustellen. Leider blieben sämtliche aktive Versuche erfolglos.
Aus diesem Grund sah sich das geschäftsführende Präsidium in seiner Sitzung vom 06.06.2023 verpflichtet, die fristgerechte Kündigung des Arbeitsverhältnisses mit L. einstimmig zu beschließen und ihm diese auch auszusprechen.“
Wie entschied das Gericht?
Das Arbeitsgericht Duisburg sprach dem klagenden Arbeitnehmer einen nicht unerheblichen Schadensersatz in Höhe von 10.000 Euro zu. Das Gericht begründete seine Entscheidung wie folgt:
- Keine Rechtsgrundlage für die Weitergabe von Gesundheitsdaten: Die Präsidentin des Vereins hat ohne Einwilligung des Klägers oder sonstige Rechtsgrundlage dessen Gesundheitsdaten an Dritte weitergegeben. Die Verarbeitung dieser Daten war weder rechtmäßig noch durch eine Ausnahme nach der DSGVO gedeckt.
- Immaterieller Schaden: Der Kläger hat durch die breite Bekanntmachung seiner Krankheitsdaten einen immateriellen Schaden erlitten, der seine Reputation und sein Ruf erheblich beeinträchtigt hat.
- Schadensersatz als Ausgleich: Artikel 82 Absatz 1 der DSGVO sieht eine Ausgleichsfunktion des Schadensersatzanspruchs vor, der den konkret erlittenen Schaden vollständig ausgleichen soll, ohne eine abschreckende oder Straffunktion zu erfüllen.
- Angemessene Entschädigung: Das Gericht hielt eine Entschädigung von 10.000 Euro für angemessen, wobei es die Sensibilität der Gesundheitsdaten gemäß Artikel 9 der DSGVO und die große Zahl der Empfänger (knapp 10.000 Vereinsmitglieder) berücksichtigte. Der vorangegangene Konflikt zwischen dem Kläger und der Präsidentin spielte bei der Höhe des Entschädigungsanspruchs keine Rolle.
- Kein Nachweis der fehlenden Verantwortung: Die Beklagte hat nicht nachgewiesen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden entstanden ist, verantwortlich ist (Artikel 82 Absatz 3 DSGVO).
Konsequenzen für die Praxis:
Als Empfehlung lässt sich aus dem Urteil ableiten:
- Sensibler Umgang mit Gesundheitsdaten: Arbeitgeber müssen besonders sensibel mit Gesundheitsdaten ihrer Mitarbeiter umgehen. Eine Weitergabe an Dritte ohne Einwilligung oder eine sonstige Rechtsgrundlage ist grundsätzlich unzulässig und kann zu erheblichen Schadensersatzansprüchen führen. Unternehmen sollten insofern interne Prozesse implementieren, um die unberechtigte Veröffentlichung sensibler Daten zu verhindern. Dies betrifft sowohl E-Mail-Kommunikation als auch andere Formen der Weitergabe von Informationen.
- Wichtigkeit von Schulungen: Mitarbeiter sollten im Umgang mit personenbezogenen Daten geschult werden, um Datenschutzverletzungen zu vermeiden.
Zusammenfassung:
Das Arbeitsgericht Duisburg hat einen Arbeitgeber zur Zahlung von 10.000 Euro Schadensersatz nach der DSGVO verurteilt, weil dieser unberechtigt Gesundheitsdaten eines Mitarbeiters veröffentlicht hatte. Dieses Urteil unterstreicht die hohe Bedeutung des Schutzes von Gesundheitsdaten und verdeutlicht die finanziellen Risiken bei Datenschutzverletzungen. Arbeitgeber müssen ihre Prozesse anpassen und sicherstellen, dass sie die Datenschutzrechte ihrer Mitarbeiter respektieren. Die Entscheidung des Gerichts zeigt, dass Verstöße gegen den Datenschutz über Art. 82 DSGVO empfindlich sanktioniert werden können.
