Schadensersatz soll abschreckende Wirkung haben

ArbG Dresden, Urt. v. 26.08.2020 – 13 Ca 1046/20

Gesundheitsdaten unterliegen laut der DS-GVO einem besonderen Schutzbedarf. Die Weitergabe solcher Daten ist nur in den ausdrücklich in Art. 9 Abs. 2 DS-GVO genannten Fällen erlaubt. Daher sollte ein Arbeitgeber besonders sensibilisiert sein, wenn er diese an Dritte weitergibt.

1.500 EUR Schadensersatz für rechtswidrige Weitergabe von Gesundheitsdaten

Das ArbG Dresden entschied in seinem Urteil vom 26. August 2020 (Az. 13 Ca 1046/20), dass einem klagenden Arbeitnehmer 1.500 EUR Schadensersatz nach Art. 82 DSGVO zusteht, weil sein Arbeitgeber rechtswidrig Gesundheitsdaten an die Ausländerbehörde und die Agentur für Arbeit übermittelt hat. Das Gericht hat die besagte Höhe festgelegt, damit diese eine abschreckende Wirkung auf den Arbeitgeber hat.

Sachverhalt

Der Kläger war als Arbeitnehmer bei der Beklagten beschäftigt. Er war kein Deutscher und verfügte über einen Aufenthaltstitel. Im Jahr 2019 war der Kläger einige Tage krank, woraufhin die Prokuristin des Unternehmens eine E-Mail an die Ausländerbehörde schrieb. Darin gab sie an, dass der Beklagte gegen die Meldepflicht verstoßen hätte, er arbeitsunfähig erkrankt sei und weder über eine gültige Bescheinigung noch eine über Meldeanschrift verfüge. Sie forderte die Ausländerbehörde auf, ihr eine aktuelle Meldeanschrift zu übermitteln und den Kläger dazu anzuhalten, seiner angeblichen Meldepflicht nachzukommen. Eine Abschrift der E-Mail sendete sie auch an die Arbeitsagentur und begründete damit die Kündigung des Klägers.

Datenschutzrechtliche Bewertung

Die Datenweitergabe der Prokuristin bzw. des Unternehmens war nach der Auffassung des Arbeitsgerichts Dresden rechtswidrig, weil es sich bei den weitergegebenen Daten um Gesundheitsdaten handelt, deren Verarbeitung nach Art. 9 Abs.1 DS-GVO ausdrücklich untersagt ist. Gesundheitsdaten dürfen nur in seltenen Fällen verarbeitet werden, wie in Art. 9 Abs.2 DS-GVO festgelegt ist. Der beklagte Arbeitgeber gab die Daten hier aber nicht auf einer rechtlichen Grundlage weiter, sondern um einen eigenen Nutzen daraus zu ziehen und verfolgte maßgeblich eigene Zwecke, so auch das Gericht:

„Insbesondere stellt § 4a Aufenthaltsgesetz keine Rechtfertigung für die Weitergabe der Gesundheitsdaten vor. Diese Vorschrift bestimmt in Abs. 5 Satz 3, was ein Arbeitgeber zu prüfen hat, nämlich insbesondere, dass ein Aufenthaltstitel vorliegt und kein Verbot oder eine diesbezügliche Beschränkung besteht. Des Weiteren ist der Ausländerbehörde innerhalb von 4 Wochen ab Kenntnis mitzuteilen, dass die Beschäftigung, für die ein Aufenthaltstitel erteilt wurde, vorzeitig beendet wurde. Keiner dieser Voraussetzungen liegt vor.“

Unberechtigte Weitergabe führt zu immateriellem Schaden

Das Gericht stellte fest, dass durch die Rufschädigung und den Kontrollverlust personenbezogener Daten ein immaterieller Schaden für den Kläger entstanden sei. Deswegen sprach das Gericht dem Kläger einen Schadenersatz in Höhe von 1.500 € nach Art. 82 DS-GVO zu. Das Gericht befand den Betrag als geboten, aber auch ausreichend. Dabei verwies das Gericht unter anderem auf den Erwägungsgrund 146 DS-GVO:

„Zum Ersatz dieses immateriellen Schadens hält die Kammer einen Betrag i.H.v. 1.500,00 EUR für geboten, aber auch ausreichend.
Nach den Erwägungsgründen 146 der DSGVO, die zur Auslegung der Vorschrift mit heranzuziehen sind, soll die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Verstöße müssen effektiv sanktioniert werden. Schadenersatz bei Datenschutzverstößen sollen eine abschreckende Wirkung haben, um der Datenschutzgrundverordnung zum Durchbruch zu verhelfen (effet utile). Dabei können sich die nationalen Gerichte auch bei der Bemessung des immateriellen Schadensersatzes an Art. 83 Abs. 2 DSGVO orientieren, sodass als Zumessungskriterien u.a. Art, Schwere, Dauer des Verstoßes, Grad des Verschuldend, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, früher einschlägige Verstöße sowie die Kategorien betroffenen Personen bezogenen Daten betrachtet werden können […]. Die Mitgliedsstaaten – auch die erkennende Kammer – sind nach dem Gedanken des Art. 4 Abs. 3 EUV verpflichtet, der Datenschutzgrundverordnung zur Wirkung zu verhelfen.
Den vorstehenden Grundsätzen entsprechend muss die Beklagte einen Schadensersatz für den verursachten immateriellen Schaden von 1.500,00 EUR zahlen. Der Beklagte hat nach Auffassung der Kammer die Gesundheitsdaten des Klägers ohne Not anderen Behörden mitgeteilt. Es bestand zum einen keine Verpflichtung, noch wurde sie von den Behörden hierzu aufgefordert. Hätte sie wirklich nur die Adresse des Klägers in Erfahrung bringen wollen, wäre es ein Einfaches gewesen, diesen zu fragen oder sich an die Meldebehörde zu wenden. Hierfür hätte sie keinerlei Begründung abgeben müssen.
Der Beklagten muss auch bewusst sein, dass der Kläger als Ausländer Gefahr läuft, seine Arbeitserlaubnis zu verlieren. Dies hat die Beklagte nicht nur billigend in Kauf genommen, sondern wie auch die Mitteilung gegenüber der Bundesagentur für Arbeit zeigt, lag ihr daran, den Eindruck zu erwecken, dass der Kläger Arbeitsverstöße begangen hat.“

Urteil mit Aussagekraft

Spannend sind zum einen die Aussagen, dass der Schadensersatz im Sinne der Auslegung der DS-GVO eine abschreckende Wirkung gebietet. Zum anderen führt die Entscheidung aus, dass Art. 82 Abs. 3 DS-GVO zu einer Beweislastumkehr führt. Demnach sei es Aufgabe der Beklagte gewesen den Nachweis zu führen, dass sie für den Umstand, der zu dem Schaden geführt hat, nicht verantwortlich ist.