Schadensersatz bei unerlaubter Weitergabe von Gesundheitsdaten (ArbG Dresden)

Hat der Kläger einen Schadensersatzanspruch nach Art. 82 der Datenschutz-Grundverordnung (DSGVO), wenn seine Gesundheitsdaten durch den ehemaligen Arbeitgeber an Behörden unerlaubt weitergegeben wird? Mit dieser Frage hatte sich das Arbeitsgericht Dresden  auseinanderzusetzen (ArbG Dresden, Urt. v. 26.08.2020 – 13 Ca 1046/20).

Welcher Sachverhalt lag der Entscheidung zugrunde?

Der Kläger ist Ausländer und Inhaber eines Aufenthaltstitels. Er war vom November 2017 bis Ende August 2019 als Arbeitnehmer bei der Beklagten beschäftigt. 2019 war der Kläger viele Tage erkrankt. So kam es dazu, dass die Prokuristin der Beklagten eine E-Mail an die Ausländerbehörde verfasste. Darin behauptete sie, dass der Kläger gegen die Meldepflicht verstoßen habe. Er sei arbeitsunfähig erkrankt ohne gültige Bescheinigung und ohne gültige Postanschrift. Die Firma der Beklagten übersandte sodann eine Abschrift der E-Mail auch an die Arbeitsagentur, um sich dort für ihre Kündigung des Arbeitsverhältnisses mit dem Kläger zu rechtfertigen.

Daraufhin wandte sich der Kläger an den Sächsischen Datenschutzbeauftragten und beantragte dort die Prüfung des Vorgangs. Dieser teilte nunmehr mit, dass es sich hier bei der von der Prokuristin in der E-Mail mitgeteilten Informationen um Gesundheitsdaten nach Art. 4 Ziff. 15 DSGVO handele und die unerlaubte Weitergabe mithin einen Datenschutzverstoß darstelle.

Der Kläger machte dann gegenüber der Beklagten einen Schadensersatzanspruch nach Art. 82 DSGVO in Höhe von 1.500 Euro geltend. Die Beklagte beantragte Klageabweisung.

Die rechtliche Wertung des ArbG Dresden

Das ArbG Dresden hat entschieden, dass dem Kläger der begehrte Schadensersatzanspruch in Höhe von 1.500 Euro wegen des Datenschutzverstoßes zustehe. Die unerlaubte Weitergabe von Gesundheitsdaten durch den ehemaligen Arbeitgeber an die Ausländerbehörde und Arbeitsagentur rechtfertige diesen Anspruch nach Art. 82 DSGVO.

Das Arbeitsgericht stellte zunächst fest, dass die Weitergabe an die Ausländerbehörde rechtswidrig gewesen sei. Bei Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO handele es sich um Gesundheitsdaten, deren Verarbeitung grundsätzlich untersagt ist. Die Verarbeitung dieser sei nur in den von Art. 9 Abs. 2 DSGVO genannten Ausnahmen zulässig. Vorliegend sei ein Ausnahmetatbestand, wie bereits der Sächsische Datenschutzbeauftragte richtig festgestellt habe, nicht ersichtlich. Dabei stelle unter anderem § 4a AufenthG (Aufenthaltsgesetz) keine Rechtfertigung für die Weitergabe der Gesundheitsdaten vor. Denn § 4a AufenthG bestimme in Absatz 5 Satz 3, was ein Arbeitgeber zu prüfen hat, nämlich insbesondere, dass ein Aufenthaltstitel vorliegt und kein Verbot oder eine diesbezügliche Beschränkung besteht. Ferner meint das Gericht, dass der Ausländerbehörde innerhalb von 4 Wochen ab Kenntnis mitzuteilen sei, dass die Beschäftigung, für die ein Aufenthaltstitel erteilt wurde, vorzeitig beendet wurde. Festgestellt habe das Gericht in diesem Sinne, dass keine dieser Voraussetzungen im Streitfall vorliege.

Ist die Höhe des Ausgleichsbetrages angemessen?

Zur Höhe des Schadensersatzanspruchs führte das ArbG Dresden aus, dass ein Betrag bezüglich eines immateriellen Schadens in Höhe von 1.500 Euro geboten, aber auch ausreichend sei. Die Beklagte habe nach Auffassung der Kammer die Gesundheitsdaten des Klägers ohne Not anderen Behörden mitgeteilt. Weder habe eine Verpflichtung zu solch einem Handeln, noch eine Aufforderung der Behörde dazu vorgelegen.

Nach den Erwägungsgründen 146 der DSGVO, die zur Auslegung der Vorschrift mit heranzuziehen seien, soll die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Daher müssen Verstöße effektiv sanktioniert werden, so das Gericht. Weiter führte es aus, dass Schadenersatz bei Datenschutzverstößen eine abschreckende Wirkung haben soll, um der Datenschutzgrundverordnung zum Durchbruch zu verhelfen (effet utile). Dabei können sich die nationalen Gerichte auch bei der Bemessung des immateriellen Schadensersatzes an Art. 83 Abs. 2 DSGVO orientieren, sodass als Zumessungskriterien u.a. Art, Schwere, Dauer des Verstoßes, Grad des Verschuldend, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens betrachtet werden können.

Fazit zu der Entscheidung

Die Entscheidung des ArbG Dresden unterliegt keinen rechtlichen Bedenken und kann im Ergebnis überzeugen. Nach der bisherigen Rechtsprechung muss für einen DSGVO-Schadensersatz eine gewisse Erheblichkeitsschwelle überschritten werden, damit ein Schadensersatz fällig wird. Im Streitfall hat die Beklagte diese Erheblichkeitsschwelle überschritten. Der Beklagten müsste hier nämlich auch bewusst sein, dass der Kläger als Ausländer Gefahr läuft, seine Arbeitserlaubnis zu verlieren. Dies hat die Beklagte nach den Ausführungen der Kammer nicht nur billigend in Kauf genommen, sondern wie auch die Mitteilung gegenüber der Bundesagentur für Arbeit zeigt, lag ihr daran, den Eindruck zu erwecken, dass der Kläger Arbeitsverstöße begangen hat. Hätte sie wirklich nur die Adresse des Klägers in Erfahrung bringen wollen, wäre es ein Einfaches gewesen, diesen zu fragen oder sich an die Meldebehörde zu wenden. Hierfür hätte sie keinerlei Begründung abgeben müssen.

Das Ergebnis des Berufungsgerichts wird in der Sache abzuwarten sein. Spannend bleibt weiterhin auch die Tatsache, was der Europäische Gerichtshof zu den Problemen des Schadensersatzanspruchs nach Art. 82 DSGVO zu liefern hat.

Hinweis und Bedeutung für Versicherungsvermittler

Insbesondere für Finanzdienstleister hat diese Entscheidung Bedeutung. Denn diese Entscheidung zeigt, wie schnell gerade auch diese Erheblichkeitsschwelle erreicht ist und es ebenso schnell auch zu Bußgeldern und / oder Schadensersatzleistungen kommen kann. Da Versicherungsvermittler sensible Kundendaten speichern, welche sehr häufig auch dem Bereich der Artikel 9 Daten der DSGVO zuzuordnen sind, sollten Vermittler entsprechende Vorkehrungen treffen, dass derartige Daten nicht ohne Einwilligung an Dritte übermittelt werden. Dieses gilt beispielweise gerade auch für Risikovoranfragen an Versicherungen, bei welchen Gesundheitsdaten der Kunden an den Versicherer zur Einschätzung des Risikos, respektive der Versicherbarkeit, übermittelt werden.

Beratung durch Fachanwälte der Kanzlei Jöhnke & Reichow

In Bereich des Datenschutzes bietet die Kanzlei Jöhnke & Reichow aus Hamburg Unterstützung durch Experten im Datenschutzrecht an. Das Datenschutzrecht gehört zum Bereich des Informationstechnologierechts. Die Kanzlei verfügt selbstverständlich über eine entsprechende Fachanwaltschaft für Informationstechnologierecht. Ebenso bietet Jöhnke & Reichow eine bundesweite Beratung und Vertretung von Unternehmern und Verbrauchern an. Nehmen Sie gern Kontakt zu den Rechtsanwälten & Fachanwälten der Kanzlei Jöhnke & Reichow auf.

Zum Autor: Rechtsanwalt Björn Thorben M. Jöhnke

Rechtsanwalt Björn Thorben M. Jöhnke ist Partner der Kanzlei Jöhnke & Reichow Rechtsanwälte und seit 2017 Fachanwalt für Versicherungsrecht. Während seiner Anwaltstätigkeit hat er bereits eine Vielzahl von gerichtlichen Verfahren im Versicherungsrecht geführt und erfolgreich für die Rechte von Versicherungsnehmern gestritten.

Zum Anwaltsprofil

Rechtsanwalt berichtet über Urteil zur Weitergabe von Gesundheitsdaten.

Mandantenstimmen:

Mit unserer Kompetenz streiten wir ehrgeizig für Ihr Ziel, nämlich Ihre Interessen durchzusetzen! Wir freuen uns, dass unsere Mandanten-/-innen unser Engagement schätzen und positiv bewerten.

Hinweise zu Kundenbewertungen

Bleiben Sie informiert – unser Newsletter!

Verpassen Sie auch zukünftig keinen Beitrag unserer Kanzlei. Über unseren 2mal monatlich erscheinenden Newsletter erhalten Sie stets die aktuellen Beiträge unserer Kanzlei zu den Themen Versicherungsrecht, Bank- und Kapitalmarktrecht, Vertriebsrecht, Handelsvertreterrecht und Wettbewerbsrecht. Wir freuen uns auf Ihre Anmeldung.