Die unerlaubte Veröffentlichung von Gesundheitsdaten seines Arbeitnehmers an Dritte kann einen DSGVO-Schadensersatz iHv. 10.000,- EUR rechtfertigen (ArbG Duisburg, Urt. v. 26.09.2024 – Az.. 3 Ca 77/24).
Ein Arbeitnehmer, technischer Leiter eines Luftsport-Verbands klagte auf DSGVO-Schadensersatz, nachdem die Präsidentin des Vereins bestimmte Gesundheitsdaten in E-Mails an Dritte veröffentlicht hatte.
Die E-Mails wurden an rund 10.000 Mitglieder des Vereins versendet.
Eine der elektronische Nachrichten hatte folgenden Wortlaut:
"Liebe Verbandsmitglieder, liebe Luftsportlerinnen und Luftsportler,
mit diesem Rundschreiben informiere ich euch darüber, dass sich seit November 2022 unser Leiter der Approved Training Organisation (ATO), L., im Krankenstand befindet. Dennoch hat er in dieser Zeit damit begonnen, haltlose wie auch unbelegbare Vorwürfe sowohl gegen unseren Geschäftsführer B. als auch gegen meine Person zu erheben, womit er offensichtlich die Diskreditierung des Geschäftsführers sowie der Präsidentin verfolgt.
Das geschäftsführende Präsidium wurde daraufhin sehr aktiv und hat mehrfach L. um einen Gesprächstermin gebeten, um mit ihm in einem konstruktiven Dialog wieder ein vertrauensvolles Arbeitsverhältnis herzustellen. Leider blieben sämtliche aktive Versuche erfolglos.
Aus diesem Grund sah sich das geschäftsführende Präsidium in seiner Sitzung vom 06.06.2023 verpflichtet, die fristgerechte Kündigung des Arbeitsverhältnisses mit L. einstimmig zu beschließen und ihm diese auch auszusprechen."
Das ArbG sprach dem klägerischen Arbeitnehmer einen Ausgleichsanspruch iHv. 10.000,- EUR zu.
Die Präsidentin des Vereins habe ohne Einwilligung des Klägers dessen Gesundheitsdaten an Dritte weitergegeben. Die Verarbeitung dieser Daten war weder rechtmäßig noch durch eine Ausnahme nach der DSGVO gedeckt.
Der Kläger habe dadurch einen immateriellen Schaden erlitten, da seine Reputation und sein Ruf durch die breite Bekanntmachung seiner Krankheitsdaten erheblich beeinträchtigt wurde.
"Zum Ersatz dieses immateriellen Schadens hält die Kammer einen Betrag in Höhe von 10.000 Euro für geboten:
Art. 82 I DS-GVO ist nach Auffassung des EuGH unter Anwendung der geltenden Auslegungsgrundsätze dahin auszulegen, dass der in dieser Bestimmung vorgesehene Schadenersatzanspruch eine Ausgleichsfunktion hat, die eine auf diese Bestimmung gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig auszugleichen, und keine abschreckende oder Straffunktion erfüllt (…)."
Und weiter:
"Vor diesem Hintergrund hält die erkennende Kammer eine Entschädigung in Höhe von 10.000,-€ für angemessen, aber auch ausreichend.
Dabei hat die Kammer berücksichtigt, dass der europäische Verordnungsgeber das verletzte Recht als bedeutsam einordnet, was sich an der Zuordnung der Gesundheitsdaten zu den besonders sensiblen Daten in Art. 9 DS-GVO zeigt. Da keine abschreckende Funktion oder Straffunktion zu erfüllen ist, knüpft die Kammer den Betrag an das Ausmaß der Beeinträchtigung, nämlich die Kenntnisnahme von knapp 10.000 Vereinsmitgliedern an. Unberücksichtigt hat das Gericht den vorangegangenen Konflikt bzw. die Korrespondenz zwischen dem Kläger und der Beklagten als Präsidentin des X. e. V. gelassen.
Denn dieser Umstand spielt für die Frage nach der Höhe des Entschädigungsanspruchs keine Rolle, sondern war bei der Frage relevant, ob der Kläger in die Verbreitung seiner Daten eingewilligt hat (was er nicht hat, siehe oben).
Art. 82 III DS-GVO stellt, so betrachtet, klar, dass der Verantwortliche von der Haftung gemäß Abs. 2 befreit wird, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist (…). Ein entsprechender Nachweis wurde hier von der Beklagten nicht geführt."