Das Arbeitsgericht Duisburg entschied durch ein Urteil vom 26. September 2024, dass einem Betroffenen ein Schadensersatzanspruch in Höhe von 10.000 EUR zustand, da sein Arbeitgeber unberechtigt Gesundheitsdaten von ihm an eine Vielzahl von Personen weiterleitete.
Der Kläger war bei einem Verein angestellt, bei dem die Beklagte im relevanten Zeitraum Präsidentin gewesen ist. Der Kläger war über einen längeren Zeitraum erkrankt gewesen. Zuvor hatte es zwischen dem Kläger und der Klägerin Diskussionen über die Führungsqualitäten des geschäftsführenden Präsidiums und des Geschäftsführers gegeben.
Die Beklagte versandte zunächst eine E-Mail an 24 Personen, in der die gesundheitliche Situation des Klägers, sowie die Ursachen hierfür thematisiert wurde. Einige Monate später versandte die Beklagte ein Rundschreiben an sämtliche Mitglieder des Vereins, in dem die krankheitsbedingte Abwesenheit des Klägers thematisiert wurde, sowie die vergangenen Diskussionen über die Führungsqualitäten und die Tatsache, dass dem Kläger die Kündigung ausgesprochen wurde.
Die Kündigung des Klägers wurde zwischenzeitlich zurückgenommen, so dass dieser weiterhin für den Verein tätig ist. Die Beklagte wurde als Präsidentin abgewählt uns ist aus dem Verein ausgeschieden.
Der Kläger gibt in seiner Klage an, dass die Beklagte ihn in seinem sozialen Geltungsanspruch herabgewürdigt und erniedrigt habe durch die Veröffentlichung sensibler Daten über seine Erkrankung und dessen Dauer in den E-Mails. Es sei der Eindruck erweckt worden, er schädige den Verein dadurch, dass er „krankfeiere“, ohne tatsächlich krank zu sein.
Das Gericht gab der Klage auf Schadensersatz nach Art. 82 DSGVO gegen die Beklagte statt.
Das Gericht führt aus, dass die Verarbeitung der personenbezogenen Daten des Klägers – sein Gesundheitsstatus – nicht rechtmäßig erfolgte. Es fehlte zum einen etwa eine Einwilligung oder eine Erforderlichkeit der Verbreitung seiner Gesundheitsdaten per E-Mail. Ebenso lag nach Ansicht des Gerichts ein Verstoß gegen Art. 9 DSGVO vor. Danach ist eine Verarbeitung von Gesundheitsdaten grundsätzlich verboten und nur in bestimmten Ausnahmefällen erlaubt. Eine solche Ausnahme konnte das Gericht nicht feststellen.
Das Gericht stellt weiterhin fest, dass der Kläger auch einen, für den Schadensersatzanspruch nach Art. 82 DSGVO erforderlichen (immateriellen) Schaden erlitten habe, indem knapp 10.000 Mitglieder des Vereins von seiner Erkrankung, der Dauer seiner Erkrankung und des vermeintlichen Vortäuschens seiner Erkrankung Kenntnis erlangt haben, und der Beklagte von Mitgliedern auch in seiner Freizeit auf die Vorgänge angesprochen wird.
Die Höhe des Schadensersatzes wurde auf 10.000,- EUR festgesetzt, wobei hierbei von dem Gericht berücksichtigt wurde, dass der Schadensersatz eine Ausgleichsfunktion hat, und dass es vorliegend aufgrund der Gesundheitsdaten um besonders sensible Daten ging, die rund 10.000 Mitglieder zu Kenntnis nahmen.
Quelle: ArbG Duisburg, Urt. v. 26.09.2024, Az. 3 Ca 77/24