Wer krankheitsbedingte Fehlzeiten von Arbeitnehmern an Behörden weitergibt und dafür weder ein Anlass noch eine rechtliche Grundlage bestehen, muss mit Ärger rechnen: Das Arbeitsgericht (ArbG) Dresden (Urteil vom 26.08.2020 – 13 Ca 1046/20 – aktuell leider nicht frei veröffentlicht) verurteilte dafür ein Unternehmen zur Zahlung von 1.500 EUR Schmerzensgeld an den Kläger. In datenschutzrechtlicher Hinsicht ist die Entscheidung interessant, weil sie sich als wohl erste mit einem Schmerzensgeldanspruch im Zusammenhang mit Gesundheitsdaten befasst.
Was war passiert?
Der Kläger ist Ausländer und Inhaber eines Aufenthaltstitels. Im Jahre 2019 war der Kläger länger erkrankt. Das beklagte Unternehmen kontaktierte daraufhin die Ausländerbehörde per E-Mail. Darin teilte die Beklagte der Behörde mit, der Kläger habe sich vier Wochen arbeitsunfähig gemeldet und sei seit dem 28.07.2019 ohne gültige Arbeitsunfähigkeitsbescheinigung nicht zur Arbeit erschienen. Außerdem habe sie keine gültige Postanschrift des Klägers. Die Beklagte bat die Ausländerbehörde um Mittelung einer aktuellen Postanschrift und den Kläger anzuhalten, seiner Meldepflicht nachzukommen. Zudem wiederholte die Beklagte diese Vorwürfe gegenüber der Bundesagentur für Arbeit und teilte dieser sämtliche Krankheitszeiten des Klägers mit.
Der Kläger beantragte bei der Sächsischen Datenschutzbehörde (DSB) die Prüfung des Vorgangs. Diese erteilte der Beklagten einen Hinweis: Bei den mitgeteilten Informationen habe es sich um Gesundheitsdaten gehandelt, die vertraulich behandelt werden müssten. Daher liege ein Verstoß vor.
Wie hat das ArbG Dresden entschieden?
Das Arbeitsgericht erkannte ebenfalls einen Verstoß gegen das Verbot der Verarbeitung von Gesundheitsdaten gemäß DSGVO. Für eine Übermittlung an die Ausländerbehörde und an die Bundesagentur für Arbeit habe keine Rechtsgrundlage bestanden. Es habe kein Bedürfnis für die Beklagte bestanden, sich direkt an die Ausländerbehörde zu wenden. Sie hätte zum einen den Kläger per Whats App nach seiner aktuellen Zustelladresse fragen können oder aber die Meldebehörde der Stadt Dresden.
Der Kläger habe einen Schaden erlitten: Der immaterielle Schaden liege in der Rufschädigung des Klägers. Ferner liege der Schaden in der Weitergabe seiner ihn betreffenden personenbezogenen Daten. Das beeinträchtige das Recht der Klägers, die Weitergabe zu kontrollieren. Der Kläger laufe als Ausländer Gefahr, seine Arbeitserlaubnis zu verlieren. Dies habe die Beklagte nicht nur billigend in Kauf genommen, sondern wie auch die Mitteilung gegenüber der Bundesagentur für Arbeit zeige, sei ihr daran gelegen, den Eindruck zu erwecken, dass der Kläger Arbeitsverstöße begangen habe.
Was bedeutet das für Unternehmen?
Vorsicht beim Umgang mit personenbezogenen Daten – gerade auch im Umgang mit Gesundheitsdaten.
- Prüfen Sie vor einer Übermittlung immer, ob dafür eine Rechtsgrundlage besteht.
- Gibt es andere Möglichkeiten, ohne die Gesundheitsdaten Informationen zu erlangen, nutzen Sie lieber diese.
- Zwar wurde im vorliegenden Fall keine bewusste Schädigungsabsicht zum Nachteil des Arbeitnehmers festgestellt. Die Ausführungen des Gerichts im Urteil zeigen jedoch, dass es dem beklagten Unternehmen mit der Übermittlung letztlich wohl genau darum zu gehen schien. Dann macht sich ein Unternehmen jedoch unnötiger Weise datenschutzrechtlich stark angreifbar.
Die gute Nachricht: Das ausgeurteilte Schmerzensgeld bewegt sich angesichts der sensiblen Daten immer noch in einem verhältnismäßigen Rahmen. Es scheint sich abzuzeichnen, dass die Gerichte bei der Bemessung von Schmerzensgeldbeträgen – anders als bei den Bußgeldern durch Behörden – einigermaßen zurückhaltend sind. Der Kollege Dr. Wybitul gibt auf CR-online einen weiteren guten Überblick über die aktuelle Rechtsprechung. Da mit einem Verstoß aber immer zugleich auch ein Bußgeldrisiko verbunden ist, gilt es, Verstöße von vornherein möglichst zu vermeiden.