Unbehutsamer Umgang mit besonders sensiblen personenbezogenen Daten

Mit dieser Frage hat sich das Arbeitsgericht Duisburg in seinem Urteil vom 26.09.2024 (Az. 3 Ca 77/24) auseinandergesetzt und dabei die Bedeutung eines datenschutzkonformen Umgangs mit personenbezogenen Daten hervorgehoben. Dabei wird noch einmal deutlich, dass auch Mitarbeiter bei grober Fahrlässigkeit für Datenschutzverstöße haften können.

Der technische Leiter eines Luftsportverbands schickte im Mai 2023 eine E-Mail an 24 Personen, darunter auch an das geschäftsführende Präsidium. In dieser E-Mail thematisierte er seine gesundheitliche Situation und deren Ursache. Er erkrankte im Mai 2022 und war seit November 2022 längerfristig krank.

Aufgrund kontroverser Diskussionen über die Führungsqualitäten des geschäftsführenden Präsidiums, die durch den technischen Leiter angestoßen wurden, informierte die Präsidentin des Vereins in einer E-Mail an 10.000 Vereinsmitglieder über dessen Krankenstand. In der E-Mail schrieb sie außerdem, dass der technische Leiter die Diskreditierung des Geschäftsführers und der Präsidentin des Vereins verfolge. Dies führte dazu, dass er von Mitgliedern des Luftsportvereins, in dem er auch seine Freizeit verbringt, auf den Inhalt der E-Mail angesprochen wurde und diesen immer wieder richtigstellen musste.

Der technische Leiter war der Auffassung, dass die geschäftsführende Präsidentin seinen sozialen Geltungsanspruch herabgewürdigt und ihn erniedrigt habe, indem sie sensible Daten, nämlich seine Erkrankung und deren Dauer, veröffentlicht habe. Durch die E-Mail an die 10.000 Vereinsmitglieder sei der Eindruck erweckt worden, er schade dem Verein, indem er krankgemeldet sei, ohne tatsächlich erkrankt zu sein. Zudem habe die Präsidentin die betriebssensiblen Daten des Konflikts zwischen ihm und dem Präsidium nach außen getragen, obwohl diese der Verschwiegenheit unterlägen. Er erhob deshalb beim Arbeitsgericht Duisburg wegen Verstoßes gegen die DSGVO Anklage und beantragte Schmerzensgeld.

Das Gericht gab der Klage statt. Der beklagten Präsidentin wurde auferlegt, dem Kläger 10.000 EUR als Schadensersatz zu zahlen. Zudem hat sie die Kosten des Rechtsstreits zu tragen.

Zur Begründung führte das Gericht aus, dass der Kläger einen immateriellen Schaden gemäß Art. 82 Abs. 1 DSGVO erlitten habe, da seine Gesundheitsdaten ohne Erlaubnis an Dritte (10.000 Mitglieder des Vereins) weitergegeben wurden und seine Reputation geschädigt worden sei. Der Schadensersatz sollt laut Gericht eine Ausgleichsfunktion haben, da es sich bei Gesundheitsdaten um besonders sensible Daten handelt. Es fehle an einer Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO für die Verarbeitung/Weitergabe der Daten. Es lag weder eine Einwilligung des Klägers vor, noch war die Übermittlung für die Erfüllung eines Vertrages oder zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich. Wegen der fehlenden Einwilligung des Klägers liege zudem ein Verstoß gegen Art. 9 Abs. 1 DSGVO vor. Demnach ist die Verarbeitung von Gesundheitsdaten nur zulässig, wenn die betroffene Person eingewilligt hat oder eine der in Art. 9 Abs. 2 lit. b - j DSGVO aufgeführten Ausnahmen greift. Das Gericht sieht auch keine dieser Ausnahmen als erfüllt an.

Da Gesundheitsdaten zu den besonders sensiblen personenbezogenen Daten zählen, erfordern sie einen stets vorsichtigen und verantwortungsvollen Umgang. Um dies sicherzustellen, sollten Unternehmen hierzu klare Richtlinien entwickeln. Krankmeldungen sind ausschließlich an diejenigen Stellen zu kommuniziert, die für die Verarbeitung auch zuständig sind. In der Regel ist dies die Personalabteilung. Dabei ist es nicht notwendig, detaillierte medizinische Informationen preiszugeben. Anstatt mitzuteilen, dass ein Mitarbeiter „krank“ ist, sollte darüber informiert werden, dass er „abwesend“ ist. Mitarbeiter sollten im Rahmen von Datenschutz-Schulungen auch in diesem Sinne sensibilisiert werden. Da die Personalabteilung besonders sensible Daten verarbeitet, ist es wichtig, diese Mitarbeiter gesondert zur Verschwiegenheit zu verpflichten. Dies erhöht den Schutz der Privatsphäre Beschäftigter und reduziert die Wahrscheinlichkeit möglicher Datenschutzverletzungen und den damit verbundenen rechtlichen Konsequenzen fürs Unternehmen. Bei Verdacht auf Datenschutzverletzungen sollte umgehend der Datenschutzbeauftragte informiert werden.

Um sich nicht persönlich wegen grober Fahrlässigkeit für Datenschutzverstöße haftbar zu machen, sollten Mitarbeiter sensible personenbezogene Daten nur im Rahmen ihrer dienstlichen Aufgaben verarbeiten und diese nicht unbedacht per E-Mail, Telefonat oder in persönlichen Gesprächen preisgeben.

Autorin: Rosemarie Popa (Senior Consultant)