Urteil : Datenschutzwidrige Mitteilung zum Krankenstand eines Arbeitnehmers : aus der RDV 4/2025, Seite 208 bis 209

aa) Es liegt ein Verstoß gegen Art. 5 Abs. 1 lit. a) DS‑GVO vor. Danach müssen personenbezogene Daten auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Die Verarbeitung der personenbezogenen Daten des Klägers über seinen aktuellen Gesundheitszustand, die in ihrem Versand als E-Mail an deren Empfänger zu erblicken ist (OLG Hamm Urt. v. 20.01.2023 – 11 U 88/22, GRUR-RS 2023, 1263 Rn. 68-73), und damit ihre Offenlegung gegenüber Dritten, war rechtswidrig. Denn die Verarbeitung ist nach Art. 6 Abs. 1 UAbs. 1 DS‑GVO nur rechtmäßig, wenn mindestens eine der dort genannten Bedingungen erfüllt ist. Dies ist hier nicht ersichtlich. Weder lag eine Einwilligung des Klägers im Sinne von Art. 6 Abs. 1 UAbs. 1 lit. a) DS‑GVO vor, noch war die Verarbeitung in Gestalt der Übermittlung als E-Mail für einen der in Art. 6 Abs. 1 UAbs. 1 lit. b) bis f) DS‑GVO genannten Zwecke erforderlich.

Eine Einwilligung des Klägers war insbesondere nicht in seiner eigenen E-Mail vom 11.05.2023 an einen ausgewählten Personenkreis zu sehen. Selbst wenn der vom Kläger ge‑ wählte Adressatenkreis in Teilen dem von der Beklagten ge‑ wählten Adressatenkreis in ihrem Schreiben vom 11.06.2023 entsprach, lag hierin unter keinen Umständen eine Einwilligung des Klägers gegenüber der Beklagten, Daten über seinen Gesundheitszustand zu versenden, und zwar weder ausdrücklich noch konkludent.

bb) Zudem liegt ein Verstoß gegen Art.  9 Abs.  1 DS‑GVO vor. Nach dieser Vorschrift ist die Verarbeitung von Gesundheitsdaten untersagt, sofern nicht eine Ausnahme nach Art. 9 Abs.  2 DS‑GVO vorliegt. Gesundheitsdaten sind gem. Art.  4 Nr. 15 DS‑GVO personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person einschließlich der Erbringung von Gesundheitsdienstleistungen beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Gemäß Erwägungsgrund 35 S. 1 zur DS‑GVO sollen hierzu alle Daten gehören, die sich auf den Gesundheitszustand der betroffenen Person beziehen und aus denen Informationen über den früheren, gegenwärtigen und künftigen körperlichen oder geistigen Gesundheitszustand hervorgehen. Anknüpfungspunkt ist damit der Gesundheitszustand, nicht aber die Krankheit einer Person, weshalb auch die Feststellung, dass eine Person genesen oder überhaupt völlig gesund ist, vom Begriff der Gesundheitsdaten erfasst wird (Weichert, in: Kühling/Buchner, DS‑GVO, BDSG, 3. Auflage 2020, Art. 4 Nr. 15 DS‑GVO Rn. 1).

Gesundheitsdaten sind hier die Informationen über den Zeitpunkt der andauernden Krankheit des Klägers sowie deren Ursachenzusammenhang in Bezug auf den geschilderten Konflikt mit dem geschäftsführenden Präsidium sowie die mittelbare Schlussfolgerung der Beklagten, dass eine tatsächliche Arbeitsunfähigkeit nicht vorliege.

Eine Ausnahme im Sinne von Art. 9 Abs. 2 DS‑GVO greift vorliegend nicht ein. Weder lag eine Einwilligung des Klägers im Sinne von Art. 9 Abs. 2 lit. a) DS‑GVO vor (siehe oben unter 1., c), aa)), noch war die Verarbeitung in Gestalt der Übermittlung als Anhang zu der E-Mail für einen der in Art.  9 Abs.  2 lit. b) bis j) DS‑GVO genannten Zwecke erforderlich.

2. Der Kläger hat auch einen immateriellen Schaden i.S.v. Art. 82 Abs. 1 DS‑GVO erlitten.

Der Begriff des immateriellen Schadens im Sinne von Art. 82 Abs. 1 DS‑GVO ist – europarechtlich autonom und unter Berücksichtigung der in den Erwägungsgründen zur DS‑GVO niedergelegten Zielsetzungen – weit auszulegen (OLG Koblenz, Urt. v. 18.05.2022 – 5 U 2141/21). Der immaterielle Schaden braucht keine Erheblichkeitsgrenze zu erreichen (EuGH (Dritte Kammer) Urt. v. 14.12.2023 – C-456/22 (VX, AT/Gemein‑ de Ummendorf), es muss jedoch ein über die Verletzung eines Rechts aus der DS‑GVO vorliegender Schaden immaterieller Art dargelegt werden, der auf der Rechtsverletzung beruht (EuGH (Dritte Kammer) Urt. v. 14.12.2023 – C-456/22 (VX, AT/ Gemeinde Ummendorf; OLG Koblenz, Urt. v. 18.05.2022 – 5 U 2141/21, juris Rn. 74; OLG Frankfurt, Urt. v. 02.03.2022 – 13 U 206/20, juris Rn. 70 f.; OLG Bremen, Beschl. v. 16.07.2021 – 1 W 18/21, juris Rn. 2; Buchner/Wessels, in: ZD 2022, 251 (254 f.)). Auch ein immaterieller Schaden muss daher konkret dargelegt werden (OLG Brandenburg, Beschl. v. 11.08.2021 – 1 U 69/20, juris Rn. 3; OLG Bremen, Beschl. v. 16.07.2021–1 W 18/21, juris Rn. 2; LG Hamburg, Urt. v. 04.09.2020 – 324 S 9/19, juris Rn. 34; Quaas, in: Wolff/Brink, BeckOK Datenschutzrecht, 42. Edition, Stand 01.08.2022, Art. 82 DS‑GVO Rn. 23a).

Vorliegend liegt der immaterielle Schaden des Klägers darin begründet, dass sämtliche knapp 10.000 Mitglieder des X. e.V. von seiner Erkrankung, der Dauer seiner Erkrankung sowie des vermeintlichen Vortäuschens seiner Erkrankung Ende 2022 Kenntnis erlangt haben und ihn sogar in seiner Freizeit auf die Vorgänge ansprechen. Dadurch wurde seine Reputation beschädigt, sein Ruf geschwächt.

3. Zum Ersatz dieses immateriellen Schadens hält die Kammer einen Betrag in Höhe von 10.000 Euro für geboten:

Art. 82 I DS‑GVO ist nach Auffassung des EuGH unter Anwendung der geltenden Auslegungsgrundsätze dahin auszulegen, dass der in dieser Bestimmung vorgesehene Schadenersatzanspruch eine Ausgleichsfunktion hat, die eine auf diese Bestimmung gestützte Entschädigung in Geld ermöglichen soll, den konkret aufgrund des Verstoßes gegen diese Verordnung erlittenen Schaden vollständig auszugleichen, und keine abschreckende oder Straffunktion erfüllt (EuGH (Dritte Kammer) Urt. v. 14.12.2023 – C-456/22 (VX, AT/Gemein‑ de Ummendorf).

Vor diesem Hintergrund hält die erkennende Kammer eine Entschädigung in Höhe von 10.000 € für angemessen, aber auch ausreichend. Dabei hat die Kammer berücksichtigt, dass der europäische Verordnungsgeber das verletzte Recht als bedeutsam einordnet, was sich an der Zuordnung der Gesundheitsdaten zu den besonders sensiblen Daten in Art.  9 DS‑GVO zeigt. Da keine abschreckende Funktion oder Straffunktion zu erfüllen ist, knüpft die Kammer den Betrag an das Ausmaß der Beeinträchtigung, nämlich die Kenntnisnahme von knapp 10.000 Vereinsmitgliedern an. Unberücksichtigt hat das Gericht den vorangegangenen Konflikt bzw. die Korrespondenz zwischen dem Kläger und der Beklagten als Präsidentin des X. e.V. gelassen. Denn dieser Umstand spielt für die Frage nach der Höhe des Entschädigungsanspruchs keine Rolle, sondern war bei der Frage relevant, ob der Kläger in die Verbreitung seiner Daten eingewilligt hat (was er nicht hat, siehe oben).

Art. 82 III DS‑GVO stellt, so betrachtet, klar, dass der Verantwortliche von der Haftung gem. Abs. 2 befreit wird, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist (EuZW 2024, 270 Rn. 93, beck-online). Ein entsprechender Nachweis wurde hier von der Beklagten nicht geführt.