1.500 Euro Schadenersatz für unerlaubte Weitergabe von Gesundheitsdaten

Hat der Kläger einen Schadensersatzanspruch nach Art. 82 der Datenschutz-Grundverordnung (DSGVO), wenn seine Gesundheitsdaten durch den ehemaligen Arbeitgeber an Behörden unerlaubt weitergegeben werden? Mit dieser Frage hatte sich das Arbeitsgericht Dresden (ArbG Dresden) auseinanderzusetzen (ArbG Dresden, Urt. v. 26.08.2020 - 13 Ca 1046/20).

Der Kläger ist Ausländer und Inhaber eines Aufenthaltstitels. Er war vom November 2017 bis Ende August 2019 als Arbeitnehmer bei der Beklagten beschäftigt. 2019 war der Kläger viele Tage erkrankt. So kam es dazu, dass die Prokuristin der Beklagten eine E-Mail an die Ausländerbehörde verfasste. Darin behauptete sie, dass der Kläger gegen die Meldepflicht verstoßen habe. Er sei arbeitsunfähig erkrankt ohne gültige Bescheinigung und ohne gültige Postanschrift. Die Firma der Beklagten übersandte sodann eine Abschrift der E-Mail auch an die Arbeitsagentur, um sich dort für ihre Kündigung des Arbeitsverhältnisses mit dem Kläger zu rechtfertigen.

Daraufhin wandte sich der Kläger an den Sächsischen Datenschutzbeauftragten und beantragte dort die Prüfung des Vorgangs. Dieser teilte nunmehr mit, dass es sich hier bei der von der Prokuristin in der E-Mail mitgeteilten Informationen um Gesundheitsdaten nach Art. 4 Ziff. 15 DSGVO handele und die unerlaubte Weitergabe mithin einen Datenschutzverstoß darstelle.

Der Kläger machte dann gegenüber der Beklagten einen Schadensersatzanspruch nach Art. 82 DSGVO in Höhe von 1.500 Euro geltend. Die Beklagte beantragte Klageabweisung.

Das ArbG Dresden hat entschieden, dass dem Kläger der begehrte Schadensersatzanspruch in Höhe von 1.500 Euro wegen des Datenschutzverstoßes zustehe. Die unerlaubte Weitergabe von Gesundheitsdaten durch den ehemaligen Arbeitgeber an die Ausländerbehörde und Arbeitsagentur rechtfertige diesen Anspruch nach Art. 82 DSGVO.

Das Arbeitsgericht stellte zunächst fest, dass die Weitergabe an die Ausländerbehörde rechtswidrig gewesen sei. Bei Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO handele es sich um Gesundheitsdaten, deren Verarbeitung grundsätzlich untersagt ist. Die Verarbeitung dieser sei nur in den von Art. 9 Abs. 2 DSGVO genannten Ausnahmen zulässig. Vorliegend sei ein Ausnahmetatbestand, wie bereits der Sächsische Datenschutzbeauftragte richtig festgestellt habe, nicht ersichtlich.

Dabei stelle unter anderem § 4a AufenthG (Aufenthaltsgesetz) keine Rechtfertigung für die Weitergabe der Gesundheitsdaten dar. Denn § 4a AufenthG bestimme in Absatz 5 Satz 3, was ein Arbeitgeber zu prüfen hat, nämlich insbesondere, dass ein Aufenthaltstitel vorliegt und kein Verbot oder eine diesbezügliche Beschränkung besteht. Ferner meint das Gericht, dass der Ausländerbehörde innerhalb von vier Wochen ab Kenntnis mitzuteilen sei, dass die Beschäftigung, für die ein Aufenthaltstitel erteilt wurde, vorzeitig beendet wurde. Festgestellt habe das Gericht in diesem Sinne, dass keine dieser Voraussetzungen im Streitfall vorliege.

Zur Höhe des Schadensersatzanspruchs führte das ArbG Dresden aus, dass ein Betrag bezüglich eines immateriellen Schadens in Höhe von 1.500 Euro geboten, aber auch ausreichend sei. Die Beklagte habe nach Auffassung der Kammer die Gesundheitsdaten des Klägers ohne Not anderen Behörden mitgeteilt. Weder habe eine Verpflichtung zu solch einem Handeln, noch eine Aufforderung der Behörde dazu vorgelegen.

Nach den Erwägungsgründen 146 der DSGVO, die zur Auslegung der Vorschrift mit heranzuziehen seien, soll die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Daher müssen Verstöße effektiv sanktioniert werden, so das Gericht. Weiter führte es aus, dass Schadenersatz bei Datenschutzverstößen eine abschreckende Wirkung haben soll, um der Datenschutzgrundverordnung zum Durchbruch zu verhelfen (effet utile). Dabei können sich die nationalen Gerichte auch bei der Bemessung des immateriellen Schadensersatzes an Art. 83 Abs. 2 DSGVO orientieren, sodass als Zumessungskriterien unter anderem Art, Schwere, Dauer des Verstoßes, Grad des Verschuldend, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens betrachtet werden können.

Die Entscheidung des ArbG Dresden unterliegt keinen rechtlichen Bedenken und kann im Ergebnis überzeugen. Nach der bisherigen Rechtsprechung muss für einen DSGVO-Schadensersatz eine gewisse Erheblichkeitsschwelle überschritten werden, damit ein Schadensersatz fällig wird. Im Streitfall hat die Beklagte diese Erheblichkeitsschwelle überschritten. Der Beklagten müsste hier nämlich auch bewusst sein, dass der Kläger als Ausländer Gefahr läuft, seine Arbeitserlaubnis zu verlieren.

Dies hat die Beklagte nach den Ausführungen der Kammer nicht nur billigend in Kauf genommen, sondern wie auch die Mitteilung gegenüber der Bundesagentur für Arbeit zeigt, lag ihr daran, den Eindruck zu erwecken, dass der Kläger Arbeitsverstöße begangen habe. Hätte sie wirklich nur die Adresse des Klägers in Erfahrung bringen wollen, wäre es ein Einfaches gewesen, diesen zu fragen oder sich an die Meldebehörde zu wenden. Hierfür hätte sie keinerlei Begründung abgeben müssen. Das Ergebnis des Berufungsgerichts wird in der Sache abzuwarten sein. Spannend bleibt weiterhin auch die Tatsache, was der Europäische Gerichtshof zu den Problemen des Schadensersatzanspruchs nach Art. 82 DSGVO zu liefern hat.

Insbesondere für Finanzdienstleister hat diese Entscheidung Bedeutung. Denn diese Entscheidung zeigt, wie schnell gerade auch diese Erheblichkeitsschwelle erreicht ist und es ebenso schnell auch zu Bußgeldern und/oder Schadensersatzleistungen kommen kann. Da Versicherungsvermittler sensible Kundendaten speichern, die sehr häufig auch dem Bereich der Artikel 9 Daten der DSGVO zuzuordnen sind, sollten Vermittler entsprechende Vorkehrungen treffen, dass derartige Daten nicht ohne Einwilligung an Dritte übermittelt werden.

Das gilt beispielweise auch für Risikovoranfragen an Versicherungen, welche Gesundheitsdaten der Kunden an den Versicherer zur Einschätzung des Risikos, respektive der Versicherbarkeit, übermittelt werden.  

Hinweis: Weitere Rechtsstreitigkeiten im Bereich des IT-Rechts/Datenschutzrecht können auf der Webseite der Kanzlei Jöhnke und Reichow nachgelesen werden. Weitere rechtliche Praxisfälle mit entsprechenden Tipps für die Vermittlerpraxis werden auf dem für Vermittler kostenfreien digitalen Vermittler-Treff besprochen.