ArbG Duisburg: Arbeitgeber muss 10.000,- EUR DSGVO-Schadensersatz für unberechtigte Veröffentlichung von Gesundheitsdaten zahlen

byRedaktion|8. Juli 2025|Rechtsprechung

Das Arbeitsgericht (ArbG) Duisburg hat mit Urteil vom 26.09.2024 (Az. 3 Ca 77/24) einer Klage auf immateriellen Schadensersatz gemäß Art. 82 DSGVO stattgegeben. Der Fall betrifft die unzulässige Weitergabe von Gesundheitsdaten eines Arbeitnehmers durch die Präsidentin eines Sportverbands an rund 10.000 Vereinsmitglieder. Das Gericht sprach dem Kläger einen Schadensersatz in Höhe von 10.000 Euro zu.

Sachverhalt

Der Kläger war technischer Leiter eines Luftsportverbands. Seit November 2022 befand er sich im Krankenstand. Im Jahr 2023 informierte die damalige Präsidentin des Vereins – gleichzeitig Mitglied des geschäftsführenden Präsidiums (welches zugleich den Vorstand im Sinne von § 26 BGB darstellt) – per Rundmail etwa 10.000 Vereinsmitglieder über den Gesundheitszustand und die krankheitsbedingte Abwesenheit des Klägers. Zudem thematisierte sie in der Nachricht interne Auseinandersetzungen und die daraufhin beschlossene Kündigung des Arbeitsverhältnisses.

Der Kläger machte geltend, durch diese Veröffentlichung in seinem allgemeinen Persönlichkeitsrecht verletzt worden zu sein. Die Nachricht habe nicht nur seine Erkrankung offengelegt, sondern auch öffentlich Zweifel an deren Glaubwürdigkeit gesät. In der Folge sei er auch im privaten Umfeld auf das Schreiben angesprochen worden. Er verlangte immateriellen Schadensersatz in Höhe von mindestens 17.000 Euro.

Entscheidung des Gerichts

Das ArbG Duisburg erkannte dem Kläger einen Anspruch auf immateriellen Schadensersatz in Höhe von 10.000 Euro zu. Dabei stellte es fest, dass die Präsidentin ohne ausdrückliche und wirksame Einwilligung des Klägers dessen Gesundheitsdaten im Sinne von Art. 9 DSGVO öffentlich gemacht hatte.

Anwendbarkeit der DSGVO im Arbeitsverhältnis

Das Gericht stellte zunächst klar, dass auch in arbeitsrechtlichen Auseinandersetzungen datenschutzrechtliche Ansprüche gemäß Art. 82 DSGVO bestehen können. Die DSGVO ist unmittelbar anwendbar und umfasst auch die Verarbeitung personenbezogener Daten durch private Organisationen und Vereine im Rahmen von Beschäftigungsverhältnissen.

Gesundheitsdaten als besonders schützenswerte Daten

Gesundheitsdaten zählen gemäß Art. 9 Abs. 1 DSGVO zu den besonders sensiblen personenbezogenen Daten, deren Verarbeitung grundsätzlich untersagt ist – es sei denn, eine der in Art. 9 Abs. 2 DSGVO genannten Ausnahmen greift. Im vorliegenden Fall lag keine Einwilligung des Klägers im Sinne von Art. 6 Abs. 1 lit. a i.V.m. Art. 9 Abs. 2 lit. a DSGVO vor. Auch eine der übrigen Ausnahmen – etwa aus Gründen des öffentlichen Interesses oder zur Ausübung von Rechten im Arbeitsrecht – war nach Ansicht des Gerichts nicht einschlägig.

Datenschutzverstoß durch die Präsidentin

Das Gericht wertete die E-Mail der Präsidentin als unzulässige Datenverarbeitung. Die Veröffentlichung des krankheitsbedingten Ausfalls und der damit zusammenhängenden Konflikte stellte eine Weitergabe personenbezogener Gesundheitsdaten an Dritte ohne rechtliche Grundlage dar. Die Beklagte – als Vertreterin des Vereins – konnte keine datenschutzrechtlich zulässige Grundlage für die Weitergabe vorweisen und hatte auch keine entlastenden Nachweise i.S.d. Art. 82 Abs. 3 DSGVO erbracht.

Höhe des immateriellen Schadensersatzes

Der zugesprochene Schadensersatz in Höhe von 10.000 Euro orientiert sich an der Ausgleichsfunktion des Art. 82 DSGVO. Das Gericht stellte klar, dass Art. 82 DSGVO keine Straf- oder Abschreckungsfunktion erfüllt, sondern darauf abzielt, den entstandenen immateriellen Schaden zu kompensieren. Ausschlaggebend für die Bemessung war vor allem

die besonders schutzwürdige Qualität der Gesundheitsdaten (Art. 9 DSGVO),
der große Empfängerkreis von ca. 10.000 Personen,
die nachhaltige Beeinträchtigung des Rufs und der sozialen Stellung des Klägers
sowie die dokumentierte Reaktion im sozialen Umfeld (z.B. Ansprache durch Dritte).

Frühere Konflikte zwischen Kläger und Präsidentin sowie eventuelle dienstliche Spannungen ließ das Gericht bei der Bemessung des Schadenersatzes ausdrücklich unberücksichtigt, da diese keinen Einfluss auf die Rechtswidrigkeit der Datenverarbeitung und das Ausmaß der Persönlichkeitsrechtsverletzung hätten.

Fazit

Das ArbG Duisburg setzt mit diesem Urteil ein deutliches Zeichen für die Beachtung der DSGVO im Arbeitsleben. Die Höhe des zugesprochenen immateriellen Schadensersatzes reflektiert sowohl die besondere Sensibilität von Gesundheitsdaten als auch das erhebliche Gewicht einer massenhaften Weitergabe solcher Daten. Verantwortliche in Vereinen müssen sich der datenschutzrechtlichen Tragweite ihres Handelns bewusst sein und mit personenbezogenen Daten – insbesondere im Konfliktfall – äußerst zurückhaltend umgehen. Das Urteil zeigt eindrucksvoll, dass selbst in vereinsinternen Kommunikationsprozessen datenschutzrechtliche Schranken bestehen, deren Missachtung erhebliche finanzielle Folgen haben kann.

Neueste Beiträge

AG Lörrach, Urteil vom 03.03.2025 – Az. 3 C 1099/24: Datenschutz vor Nachbarschaftskontrolle – Unzulässigkeit privater Foto- und Videoaufnahmen zu Beweiszwecken8. Juli 2025 - 13:27
Das AG Lörrach entschied, dass heimliche Foto- und Videoaufnahmen eines Nachbarn zur Beweissicherung unzulässig sind, wenn keine konkrete Grundlage besteht. Auch bei Nachbarschaftskonflikten gilt: Die DSGVO schützt das Persönlichkeitsrecht – pauschale Verdachtsmomente reichen nicht aus.
ArbG Duisburg: Arbeitgeber muss 10.000,- EUR DSGVO-Schadensersatz für unberechtigte Veröffentlichung von Gesundheitsdaten zahlen8. Juli 2025 - 13:10
Das Arbeitsgericht (ArbG) Duisburg hat mit Urteil vom 26.09.2024 (Az. 3 Ca 77/24) einer Klage auf immateriellen Schadensersatz gemäß Art. 82 DSGVO stattgegeben. Der Fall betrifft die unzulässige Weitergabe von Gesundheitsdaten eines Arbeitnehmers durch die Präsidentin eines Sportverbands an rund 10.000 Vereinsmitglieder. Das Gericht sprach dem Kläger einen Schadensersatz in Höhe von 10.000 Euro zu.
Gedankenschutz im digitalen Zeitalter: Mental Privacy als Lösung?3. Juli 2025 - 12:31
Gedankenschutz im digitalen Zeitalter: Wird Mental Privacy zur Menschenrecht?
Was wäre, wenn Ihre Gedanken nicht mehr nur Ihnen gehören?

Stellen Sie sich vor, Ihr Kopfhörer liest nicht nur Musik aus – sondern auch Ihre Ängste, Wünsche, Überzeugungen. Klingt nach Science-Fiction? Mit KI, Neurotechnologie und maschinellem Lernen wird genau das zunehmend realistisch. Unternehmen und Staaten könnten bald nicht nur wissen, was Sie denken – sondern wie.
Dieser technologische Fortschritt stellt nicht nur den klassischen Datenschutz auf die Probe, sondern fordert ein neues Grundrecht: Mental Privacy – das Recht auf Schutz Ihrer Gedanken. Es geht um nichts Geringeres als die Freiheit des Denkens im digitalen Zeitalter. Wer darf Zugang zu unserem Geist haben – und unter welchen Bedingungen?
Ein Thema, das uns alle betrifft. Jetzt – bevor es zu spät ist.
Brüsseler Berufungsgericht erklärt TCF 2.0 von IAB Europe für datenschutzwidrig – wichtige Handlungsempfehlungen für Unternehmen3. Juli 2025 - 12:30
Das Brüsseler Berufungsgericht hat das weit verbreitete TCF 2.0 von IAB Europe als datenschutzwidrig eingestuft – mit weitreichenden Folgen für Unternehmen, die Online-Werbung nutzen. Besonders kritisch: Der TC-String gilt nun eindeutig als personenbezogenes Datum, und IAB Europe wurde als (mit-)verantwortlich eingestuft. Unternehmen sollten jetzt handeln, um rechtliche Risiken zu vermeiden.