Am 26. September 2024 urteilte das Arbeitsgericht Duisburg in einem Fall, der zeigt, wie schnell sich eine scheinbar beiläufige Information zu einem teuren Datenschutz-Drama entwickeln kann. Ein Arbeitnehmer eines Vereins hatte sich krankgemeldet, doch die Information darüber blieb nicht im geschützten Rahmen. Stattdessen erhielten knapp 10.000 Mitglieder (!) des Vereins detaillierte Angaben zu seiner Erkrankung, der Dauer und sogar dem Vorwurf, er habe seine Krankheit nur vorgetäuscht.
Das Ergebnis: Nicht nur seine Gesundheit, auch seine Reputation stand plötzlich zur Diskussion, bis hin in den privaten Alltag, wo Mitglieder ihn auf seine Krankheit ansprachen.
📩 Von der internen Info zur Massen-E-Mail
Die Beklagte, der Verein als Arbeitgeberin, hatte ohne jede Notwendigkeit oder Rechtsgrundlage eine E-Mail verschickt, die weit über den ursprünglichen Adressatenkreis hinausging. Damit wurde eine eigentlich vertrauliche Gesundheitsinformation zur Massenmitteilung.
Das Gericht stellte klar: Schon die bloße Mitteilung, dass jemand im Krankenstand ist, fällt unter Gesundheitsdaten im Sinne des Art. 9 Abs. 1 DSGVO und darf nicht ohne Einwilligung oder gesetzliche Grundlage weitergegeben werden. Hier gab es weder das eine noch das andere.
⚖️ Mehrere DSGVO-Verstöße auf einmal
Das Gericht erkannte gleich mehrere Verstöße:
- Art. 5 Abs. 1 lit. a DSGVO – Rechtmäßigkeit: Es fehlte jede Rechtsgrundlage für die Verarbeitung.
- Art. 5 Abs. 1 lit. f DSGVO – Vertraulichkeit: Die Daten wurden an rund 10.000 unbeteiligte Personen weitergegeben, ein klarer Bruch der Vertraulichkeit.
- Art. 9 Abs. 1 DSGVO – Verbot sensibler Datenverarbeitung: Gesundheitsdaten dürfen nur unter strengen Voraussetzungen verarbeitet werden, die hier nicht vorlagen.
Die Richter betonten: Das Vorgehen war nicht gerechtfertigt, nicht erforderlich und damit eindeutig rechtswidrig.
🧑⚖️ Was die Beklagte einwandte und warum es nicht zog
Im Verfahren bestritt die Beklagte, die Information über den Krankenstand weitergegeben zu haben. Doch das half nichts: Das Gericht stellte klar, dass eine bloße Behauptung ohne Beweise im Zivilprozess nicht genügt. Da die Beklagte ihre Aussage nicht untermauern konnte, blieb sie rechtlich ohne Wirkung.
Der Datenschutzverstoß stand daher weiterhin im Raum und die Haftung blieb bestehen.
💸 Das Urteil: 10.000 € Schadenersatz
Für den Kläger bedeutete der Fall nicht nur Kontrollverlust über seine Daten, sondern auch einen schweren Reputationsschaden. Das Gericht sprach ihm daher nach Art. 82 DSGVO einen immateriellen Schadenersatz in Höhe von 10.000 € zu.
Ein klares Signal: Datenschutzverstöße bei sensiblen Daten sind kein Bagatelldelikt, sondern ein ernsthafter Rechtsbruch mit spürbaren Folgen.
🚨 MeineBerater-Tipp
Ein einziger unbedachter Satz kann teuer werden, im schlimmsten Fall zehntausendfach. Gerade bei Gesundheitsdaten ist Vorsicht oberstes Gebot: Nur wer eine klare Rechtsgrundlage hat, also einen Behandlungsvertrag oder die ausdrückliche Einwilligung der betroffenen Person, darf Daten mit besonderem Schutzcharakter weitergeben.
Schulungen und klare interne Prozesse verhindern, dass „aus Versehen“ ein – wie wir hier meinen – Datenschutzskandal entsteht. Bei beidem und vielem mehr können wir gerne helfen 😉 Einfach mit uns Kontakt aufnehmen unter office@meineberater.at