Datenschutzrisiken bei der Mitteilung über den Gesundheitszustand von Mitarbeiterinnen und Mitarbeiter

Veröffentlicht am Veröffentlicht in Datenschutzbeauftragter
Datenschutzrisiken bei der Mitteilung über den Gesundheitszustand von Mitarbeiterinnen und Mitarbeiter
Datenschutzrisiken bei der Mitteilung über den Gesundheitszustand von Mitarbeiterinnen und Mitarbeiter

[D] Ein Urteil des Arbeitsgerichts Duisburg (Az. 3 Ca 77/24) verdeutlicht die datenschutzrechtlichen Risiken, die mit der Mitteilung über den Gesundheitszustand von Mitarbeitern verbunden sind.

Im konkreten Fall hatte eine Vereinspräsidentin eine Rundmail an fast 10.000 Mitglieder versandt, in der sie den Gesundheitszustand eines ihrer Mitarbeiter offenlegte und dabei auch auf angebliche Vorwürfe des Mitarbeiters hinwies. Der betroffene Mitarbeiter klagte daraufhin auf immateriellen Schadensersatz und verwies auf die Verletzung seiner Datenschutzrechte.

Verstoß gegen die DSGVO

Das Gericht entschied zugunsten des Arbeitnehmers und stellte fest, dass durch die Mitteilung an die große Zahl von Mitgliedern ein klarer Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) vorlag. Insbesondere wurde Art. 9 Abs. 1 DSGVO verletzt, der die Verarbeitung von Gesundheitsdaten ohne ausdrückliche Einwilligung untersagt. Die Tatsache, dass der Kläger im Krankenstand war, qualifiziert die Mitteilung als Verarbeitung von sogenannten besonderen Kategorien personenbezogener Daten, was strengen Regelungen unterliegt. Laut Urteil entstand dem Kläger ein immaterieller Schaden durch die negative Beeinflussung seiner Reputation.

Anspruch auf immateriellen Schadensersatz

Das Gericht hat zudem entschieden, dass der Kläger 10.000 € Entschädigung erhält, weil seine besonders sensiblen Gesundheitsdaten ohne seine Einwilligung an rund 10.000 Vereinsmitglieder weitergegeben wurden. Die Höhe des Schadensersatzes orientiert sich am Ausmaß der Datenschutzverletzung. Persönliche Konflikte zwischen den Beteiligten waren für die Entschädigungshöhe nicht relevant.

Bedeutung für das Datenschutz Management

Für Verantwortliche in der Datenschutzpraxis zeigt dieser Fall auf, wie wichtig das Einhalten der DSGVO ist. Unternehmen und Organisationen müssen ihre Kommunikationswege und -inhalte dahingehend überprüfen, wie sie über abwesende Mitarbeiter informieren. Anstatt spezifische Informationen über den Gesundheitszustand oder den Krankenstand eines Mitarbeiters weiterzugeben, sollten alternative Formulierungen gewählt werden. So könnte beispielsweise kommuniziert werden, dass ein Mitarbeiter „nicht im Haus“ oder „abwesend“ ist, was jegliche Rückschlüsse auf den Gesundheitszustand vermeidet.

Risiken und Empfehlungen

Die Risiken, die sich aus einer Verletzung der DSGVO ergeben, sind erheblich. Diese reichen von finanziellen Sanktionen bis hin zu Reputationsverlusten für das Unternehmen. Es ist empfehlenswert, interne Richtlinien zu erstellen, die klare Vorgaben für die Kommunikation im Krankheitsfall festlegen. Sensibilisierungstrainings für Führungskräfte und Mitarbeiter sind ebenso wichtig, um ein Bewusstsein für Datenschutzthemen zu schaffen und rechtliche Risiken zu minimieren.

Quelle: Arbeitsgericht Duisburg, Urteil vom 26.09.2024, Az. 3 Ca 77/24