Verstoß: Unerlaubte Datenweiterleitung (Gesundheitsdaten)

Beschreibung

Der Kläger war ein Ausländer mit Aufenthaltstitel. Seine Arbeitgeberin, die Beklagte, übersandte eine Beschwerde über eine Nichtmeldung und seine Erkrankung an die Ausländerbehörde sowie an die Agentur für Arbeit, um die Kündigung zu rechtfertigen
Aktenzeichen

ArbG Dresden, Urteil vom 26.08.2020 – 13 Ca 1046/20
Kategorie(n)

Arbeitnehmer
Betrag

1500 €

Ähnliche Urteile

Arbeitsgericht Duisburg, Urteil vom 03.11.2023 - 5 Ca 877/23
Ähnliche Urteile

OLG Köln, Urteil vom 04.05.2023 - 15 U 3/23
Ähnliche Urteile

LAG Hessen, Urteil vom 27.01.2023 - 14 Sa 359/22
Ähnliche Urteile

LAG Baden-Württemberg, Urteil vom 28.7.2023 - 9 Sa 73/21
Ähnliche Urteile

LAG Baden-Württemberg, Urteil vom 27.7.2023 - 3 Sa 33/22
Ähnliche Urteile

LAG Düsseldorf, Urteil vom 26.04.2023 - 12 Sa 18/23
Ähnliche Urteile

LAG Baden-Württemberg Urt. v. 27.1.2023 - 12 Sa 56/21
Ähnliche Urteile

ArbG Duisburg, Urteil vom 23.03.2023 - 3 Ca 44/23
Ähnliche Urteile

ArbG Oldenburg, Teilurteil vom 09.02.2023 – 3 Ca 150/21
Ähnliche Urteile

LG Köln, Urteil vom 28.09.2022 - 28 O 21/22

1. Die Beklagte wird verurteilt, dem Kläger für immaterielle Schäden einen Betrag in Höhe von 1.500,00 EUR sowie weitere 201,71 EUR, beides nebst Zinsen in Höhe von fünf Prozentpunkten über dem jeweiligen Basiszinssatz hieraus ab dem 12.05.2020 zu zahlen.

2. Die Beklagte trägt die Kosten des Rechtsstreits.

3. Der Streitwert wird auf 1.701,71 EUR festgesetzt.

4. Die Berufung wird zugelassen.

Tatbestand

Die Parteien streiten über einen Schadensersatz wegen eines immateriellen Schadens, gestützt auf Art. 82 Abs. 1, Datenschutzgrundverordnung (DSGVO) und die Erstattung von Kosten für die Beauftragung eines Bevollmächtigten für ein Verfahren beim Sächsischen Datenschutzbeauftragten i.H.v. 201,71 EUR.

Der Kläger ist Ausländer und Inhaber eines Aufenthaltstitels. Er war vom 01.11.2017 bis 26.08.20219 als Arbeitnehmer bei der Beklagten beschäftigt. Der Kläger war im Jahr 2019 viele Tage erkrankt. Mit E-Mail vom 14.08.2019, auf welche wegen deren weiteren Inhalts Bezug genommen wird (Anlage K1 auf Bl.7 d.A.) kontaktierte die Prokuristin der Beklagten die Ausländerbehörde. In der E-Mail behauptete sie, der Kläger hätte gegen die Meldepflicht verstoßen, er sei arbeitsunfähig erkrankt seit dem 28.07.2019 ohne gültige Bescheinigung und ohne gültige Postanschrift. Sie bat die Ausländerbehörde um Mittelung einer aktuellen Postanschrift und den Kläger anzuhalten, seiner Meldepflicht nachzukommen. Die Beklagte übersandte eine Abschrift der E-Mail auch an die Arbeitsagentur, um sich dort für ihre Kündigung des Arbeitsverhältnisses mit dem Kläger zu rechtfertigen. Hierfür erhielt der Kläger am 03.02.2020 durch Akteneinsicht Kenntnis. Der Kläger wandte sich daher, vertreten durch seinen Prozessbevollmächtigten mit Schreiben vom 23.02.2020 an den Sächsischen Datenschutzbeauftragten und beantragte dort die Prüfung des Vorgangs. Mit Schreiben des Sächsischen Datenschutzbeauftragten vom 18.03.2020 (Anlage K3 auf Bl.10 d.A.) teilte der Sächsische Datenschutzbeauftragte mit, dass es sich hier bei der von der Prokuristin in der E-Mai vom 14.08.2019 mitgeteilten Informationen um Gesundheitsdaten nach Art. 4 Ziff. 15 DSGVO handele und dass sie der Beklagten auf Grund des vorgenannten Verstoßes einen Hinweis nach Artikel 58 Abs. 1 d DSGVO erteilt habe, wonach personenbezogenen Daten, insbesondere Gesundheitsdaten von Mitarbeitern, vertraulich zu behandeln seien. Mit Schreiben vom 21.08.2019 (Anlage K5 auf Bl. 40 d.A.) teilte die Beklagte der Agentur für Arbeit sämtliche Fehlzeiten des Klägers mit und informierte über zwei Abmahnungen, räumte aber auch ein, dass der Kläger im Zeitraum vom 24.07. bis zum 16.08.2019 arbeitsunfähig erkrankt war und auch weitere Arbeitsunfähigkeitsbescheinigungen für den 25.08 und 27.08. bis 31.08.2019 mit stetem Arztwechsel vorgelegen habe. Der Kläger machte mit Schreiben vom 09.04.2020 gegenüber der Beklagten für den immateriellen Schaden eine Betrag i.H.v. 1.500,00 EUR geltend sowie für die Kosten der Bevollmächtigung seines Prozessbevollmächtigten für das Verfahren beim Sächsischen Datenschutzbeauftragten weitere 201,71 EUR. Die Beklagte ließ die gesetzte Frist zum 24.04.2020 verstreichen. Mit am 29.04.2020 beim Arbeitsgericht eingegangenen Klage verfolgt der Kläger seine Ansprüche weiter.

Der Kläger trägt vor, dass er seinen Anspruch auf Schadensersatz auf Art. 82 Abs. 1 DSGVO stützt, wonach jede Person, die wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, auch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter habe. Dass ein Verstoß vorliege, habe bereits der Sächsische Datenschutzbeauftragte bindend festgestellt. Dem Kläger sei bereits deswegen auch ein Schaden entstanden, der in der Rufschädigung gegenüber der Ausländerbehörde liege. Dabei müsse berücksichtigt werden, dass die Beklagte in böswilliger Absicht gehandelt habe. Der Kläger habe mit der Beklagten die ganze Zeit im Whats-App-Kontakt gestanden. Wenn die Beklagte die neue Adresse des Klägers hätte wissen wollen, dann hätte sie ihn über diese Weg fragen können oder müssen oder aber sie hätte einfach den rechtmäßigen Weg gehen können über eine einfache Melderegisterauskunft. Die Böswilligkeit zeige sich auch durch die Stellungnahme der Beklagten an die Bundesagentur für Arbeit mit Schreiben vom 21.08.2019 (Anlage K5 auf Bl. 40 d.A.), in welchem dieser gegenüber die einzelnen Fehlzeiten aufgelistet wurden. Der Kläger habe aus diesem Grund sich gegenüber der Arbeitsagentur erklären müssen, dass er ernsthaft erkrankt war. Die Beklagte habe daher auch eingeräumt, dass sie ständig im Whats-App-Kontakt mit dem Kläger gestanden habe. Der Kläger mache sich Sorgen, dass er in seinem aufenthaltsrechtlichen Fortkommen in Deutschland Nachteile erleide. Dies raube ihm den Schlaf und die Lebensfreude. Eine Veranlassung der Beklagten für eine Denunziation gegenüber der Ausländerbehörde habe nicht bestanden. Ein immaterieller Schaden liege vor. Der begehrte Schadenersatz läge im unteren Rand dessen, was angemessen sei. Hierbei sei zu berücksichtigen, dass die Beklagte in ihrer E-Mail den Eindruck erweckt hat, dass der Kläger für die Beklagte nicht erreichbar gewesen sei, was nicht stimme. Es sei der Eindruck erweckt worden, der Kläger habe gegen die Meldepflicht verstoßen, also eine Ordnungswidrigkeit nach § 54 Bundesmeldegesetz begangen. Weiterhin wurde berichtet, dass der Kläger sich arbeitsrechtliche Verfehlungen habe zu Schulden kommen lasen, was ebenfalls nicht stimme. Schließlich werde berichtet, dass der Kläger seit 4 Wochen erkrankt sei und seit dem 28.07.2019 ohne Arbeitsunfähigkeitsbescheinigung.

Der Kläger beantragt: Die Beklagte wird verurteilt, dem Kläger für immaterielle Schäden einen Betrag zu zahlen, der in das Ermessen des Gerichts gestellt wird, jedoch nicht unter 1.500,00 € unterschreiten sollte sowie weitere 201,71 €, beides nebst Zinsen in Höhe von 5 Prozentpunkten über dem jeweiligen Basiszinssatz hieraus ab Rechtshängigkeit.

Die Beklagte beantragt, die Klage abzuweisen.

Die Beklagte trägt vor, dass ein Anspruch nach Artikel 82 DSGVO nicht bestehe, da der Tatbestand der Norm nicht erfüllt sei. Ein Verstoß gegen die Datenschutzgrundverordnung liege nicht vor. Selbst wenn er vorliegen würde, sei dieser vom Kläger nicht hinreichend dargelegt und unter Beweis gestellt worden. Die Feststellungen in den förmlichen Hinweisen des Sächsischen Datenschutzbeauftragten nach Art. 58 Abs. 1 d DSGVO bedeute nicht gleichzeitig, dass ein Verstoß tatsächlich vorgelegen habe. Ein solcher Verstoß gegen Art. 9 Abs. 1 DSGVO liege nicht. Der Beklagten habe ein Rechtsfertigungstatbestand zur Seite gestanden, weshalb die Datenverarbeitung nicht rechtswidrig gewesen sei. Nach § 26 Abs. 1 Bundesdatenschutzgesetze (BDSG) könnten Daten des Beschäftigten zum Zwecke der Durchführung des Beschäftigungsverhältnisses verarbeitet werden, wenn dies erforderlich sei. Eine Datenweitergabe sei ohne Weiteres eine Verarbeitung im Sinne dieser Norm. Die Beklagte habe keine andere Möglichkeit gehabt, mit ihrem Arbeitnehmer in Kontakte zu treten. Daher sei die Mitteilung an die Ausländerbehörde, dass der Kläger für längere Zeit abwesend und nicht erreichbar gewesen sei, nach dieser Vorschrift gestattet. Der Kläger habe es auch versäumt, den ihm entstandenen immateriellen Schaden hinreichend darzulegen und unter Beweis zu stellen. Selbst wenn es dem Kläger gelingen würde nachzuweisen, dass ein Schaden tatsächlich entstanden sei, wäre das Handeln der Beklagten in der Gesamtschau eher als Bagatelle zu betrachten und ein Schadensersatz von höchstens 500,00 EUR angemessen. Im Übrigen müsse die Beklagte den Kläger auch nicht über Whats-App nach seiner Anschrift fragen, was für sich genommen tatsächlich einen datenschutzrechtlichen Fehltritt darstellen dürfte. Vielmehr habe der Kläger es arbeitsvertragswidrig unterlassen, seine aktuelle Anschrift mitzuteilen. Er habe darüber hinaus unentschuldigt gefehlt. Die Stellungnahme an die Bundesagentur für Arbeit vom 21.08.2019 stelle den Sachverhalt aus Sicht der Beklagten sachlich dar. Es sei nicht ersichtlich, wie der Kläger darauf komme, dass ihr eine Schädigungsabsicht zu entnehmen sei. Dies sei reine Spekulation.

Zur Ergänzung des Sach- und Streitstandes wird auf den Inhalt der gewechselten Schriftsätze nebst Anlagen sowie die Verhandlungsniederschrift vom 26.08.2020 Bezug genommen.

Entscheidungsgründe

Der Kläger hat gegen die Beklagte Anspruch auf Schadenersatz i.H.v. 1.500,00 EUR aus Art. 82 Abs. 1 DSGVO nebst Zinsen.

a) Artikel 82 Abs. 1 DSGVO findet im nationalen Recht unmittelbar Anwendung.

b) Die Beklagte als für die Verarbeitung mit den Personendaten des Klägers i.S.d. Art. 4. Ziff. 7 DSGVO Verantwortliche gegen die Datenschutzgrundverordnung verstoßen. Nach Art. 82 Abs. 1 DSGVO regelt, dass jeder einen Schadenersatzanspruch hat, dem wegen eines Verstoßes gegen die Datenschutzgrundverordnung ein materiellen oder immaterieller Schaden entstanden ist.

Die Beklagte hat gegen Art. 9 Abs. 1 DSGVO verstoßen, indem die Prokuristin der … GmbH, Frau …, deren Verhalten die Beklagte sich zurechnen lassen muss, mit E-Mail vom 14.08.2019 der Ausländerbehörde … mitgeteilt hatte, dass der Kläger sich vier Wochen arbeitsunfähig gemeldet hat und sei dem 28.07.2019 ohne gültige Arbeitsunfähigkeitsbescheinigung nicht zur Arbeit erschienen sei. Sie hatte mit E-Mail vom 21.08.2019 diese Vorwürfe auch noch einmal gegenüber der Bundesagentur für Arbeit wiederholt und in diesem Zusammenhang sämtliche Krankheitszeiten des Klägers aufgelistet. Es handele sich bei diesen Daten um Gesundheitsdaten nach Art. 4 Ziff. 15 DSGVO. Bei Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO handele es sich um Gesundheitsdaten, deren Verarbeitung grundsätzlich untersagt ist. Nur in den von Art. 9 Abs. 2 DSGVO genannten Ausnahmen ist die Verarbeitung zulässig. Ein solcher Ausnahmetatbestand ist, wie bereits der Sächsische Datenschutzbeauftragte richtig festgestellt hat, nicht ersichtlich. Insbesondere stellt § 4 a Aufenthaltsgesetz keine Rechtfertigung für die Weitergabe der Gesundheitsdaten vor. Diese Vorschrift bestimmt in Abs. 5 Satz 3, was ein Arbeitgeber zu prüfen hat, nämlich insbesondere, dass ein Aufenthaltstitel vorliegt und kein Verbot oder eine diesbezügliche Beschränkung besteht. Des Weiteren ist der Ausländerbehörde innerhalb von 4 Wochen ab Kenntnis mitzuteilen, dass die Beschäftigung, für die ein Aufenthaltstitel erteilt wurde, vorzeitig beendet wurde. Keiner dieser Voraussetzungen liegt vor. Es bestand auch, wie der Kläger zurecht ausführte, kein Bedürfnis für die Beklagte, sich direkt an die Ausländerbehörde zu wenden, weil eine Abmahnung während des Umzuges des Klägers nicht zugestellt werden konnte. Sie hätte zum einen den Kläger in der Tat per Whats App nach seiner aktuellen Zustelladresse fragen können oder aber die Meldebehörde der …, also der für solche Auskünfte zuständigen Behörde. Somit liegt ein Verstoß gegen Art. 9 Abs. 1 DSGVO vor.

c) Die Beklagte hat nicht dargetan, für die Verstöße nicht verantwortlich zu sein, weshalb gem. Art. 82 Abs. 3 DSGVO eine Haftung entfiele. Vielmehr behauptet sie auch noch im vorliegenden Verfahren, dass sie die Meldung bewusst gemacht hat, wobei an dieser Stelle dahingestellt bleiben kann, ob sie dies in schädigender Absicht getan hatte. Vieles spricht dafür, dass es nach Artikel 82 Abs. 3 DSGVO zu einer Beweislastumkehr kommt, also der Arbeitgeber dieser unmittelbar anzuwendenden Vorschrift nachweisen muss, dass er für den Umstand, der zu dem Schaden geführt hat, nicht verantwortlich ist.

d) Der Kläger hat auch einen immateriellen Schaden i.S.d. Art. 82 Abs. 1 DSGVO erlitten. Der Begriff des Schadens ist auf eine Art und Weise auszulegen, die den Zielen der Datenschutzgrundverordnung in vollem Umfange entspricht. Insoweit ist durch das Inkrafttreten der Datenschutzgrundverordnung eine Verschärfung im Vergleich zur bisherigen Rechtslage eingetreten. Ein immaterieller Schaden entsteht nicht nur in den “auf der Hand liegenden Fällen”, wenn die datenschutzwidrige Verarbeitung zu einer Diskriminierung, einem Verlust der Vertraulichkeit, einer Rufschädigung oder anderen gesellschaftlichen Nachteilen führt, sondern auch, wenn die betroffene Person um ihre Rechte und Freiheiten gebracht oder daran gehindert ist, die sie betreffenden personenbezogen Daten zu kontrollieren. Indem die Beklagte sich an die Ausländerbehörde und später an die Bundesagentur für Arbeit wendete, hat sie die Vorgaben des Art. 9 DSGVO verletzt. Nach Art. 82 DSGVO reicht aus, dass ein immaterieller Schaden entstanden ist. Der immaterielle Schaden liegt, was auf der Hand liegt, in der Rufschädigung des Klägers und in der Weitergabe seine, wodurch bereits sein Recht beeinträchtigt ist, die ihn betroffenen personenbezogenen Daten zu kontrollieren.

e) Zum Ersatz dieses immateriellen Schadens hält die Kammer einen Betrag i.H.v. 1.500,00 EUR für geboten, aber auch ausreichend.

Nach den Erwägungsgründen 146 der DSGVO, die zur Auslegung der Vorschrift mit heranzuziehen sind, soll die betroffene Person einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Verstöße müssen effektiv sanktioniert werden. Schadenersatz bei Datenschutzverstößen sollen eine abschreckende Wirkung haben, um der Datenschutzgrundverordnung zum Durchbruch zu verhelfen (effet utile). Dabei können sich die nationalen Gerichte auch bei der Bemessung des immateriellen Schadensersatzes an Art. 83 Abs. 2 DSGVO orientieren, sodass als Zumessungskriterien u.a. Art, Schwere, Dauer des Verstoßes, Grad des Verschuldend, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, früher einschlägige Verstöße sowie die Kategorien betroffenen Personen bezogenen Daten betrachtet werden können (vgl. Wybitul/Haß/Albrecht, NJW 2018, 113, 115). Die Mitgliedsstaaten – auch die erkennende Kammer – sind nach dem Gedanken des Art. 4 Abs. 3 EUV verpflichtet, der Datenschutzgrundverordnung zur Wirkung zu verhelfen.

Den vorstehenden Grundsätzen entsprechend muss die Beklagte einen Schadensersatz für den verursachten immateriellen Schaden von 1.500,00 EUR zahlen. Der Beklagte hat nach Auffassung der Kammer die Gesundheitsdaten des Klägers ohne Not anderen Behörden mitgeteilt. Es bestand zum einen keine Verpflichtung, noch wurde sie von den Behörden hierzu aufgefordert. Hätte sie wirklich nur die Adresse des Klägers in Erfahrung bringen wollen, wäre es ein Einfaches gewesen, diesen zu fragen oder sich an die Meldebehörde zu wenden. Hierfür hätte sie keinerlei Begründung abgeben müssen.

Der Beklagten muss auch bewusst sein, dass der Kläger als Ausländer Gefahr läuft, seine Arbeitserlaubnis zu verlieren. Dies hat die Beklagte nicht nur billigend in Kauf genommen, sondern wie auch die Mitteilung gegenüber der Bundesagentur für Arbeit zeigt, lag ihr daran, den Eindruck zu erwecken, dass der Kläger Arbeitsverstöße begangen hat.

Die Beklagte hat auch dem Kläger den materiellen Schaden i.H.v. 201,71 EUR zu ersetzen. Der Schaden liegt darin, dass ein Verfahren beim Sächsischen Datenschutzbeauftragten geführt werden musste. Die Beklagte ist für diesen adäquat-kausal verursachten Schaden verantwortlich und deswegen auch zum Ersatz der Kosten nach § 82 Abs. 1 DSGVO verpflichtet. Gegen die Höhe der geltend gemachten Anwaltskosten bestehen keine Bedenken.

Dem Schadensersatzanspruch besteht § 12 a ArbGG entgegen, wonach im Urteilsverfahren des ersten Rechtszugs grundsätzlich kein Anspruch auf Entschädigung wegen Zeitversäumnis und Erstattung der Kosten für die Zuziehung eines Prozessbevollmächtigten oder Beistandes bestehen. Es handelt sich dabei zwar auch um einen materiell-rechtlichen Kostenerstattungsausschluss für eine vorgerichtliche Inanspruchnahme. In europarechtskonformer Auslegung ist § 12 a Abs. 1 Satz 1 ArbGG einschränkend dahingehend auszulegen, dass dieser nicht für Ansprüche nach § 82 Abs. 1 DSGVO gilt, da anderenfalls eine Durchsetzung der Datenschutzgrundverordnung nicht effektiv und abschreckend möglich wäre.

Die zugesprochenen Zinsen folgen aus §§ 291, 288 Abs. 1 BGB.

II.

Die Kostenentscheidung folgt aus § 91 Abs. 1 ZPO i.V.m. § 46 Abs. 2 Satz 1 ArbGG.

III.

Der Streitwert der Entscheidung ist gem. § 3 ff. ZPO zu bestimmen und nach § 61 Abs. 1 ArbGG im Urteil festzusetzen und war in Höhe der Klageforderung vorzunehmen.

IV.

Die Berufung war in Anbetracht der grundsätzlichen Bedeutung der Sache, insbesondere der fehlenden höchst- und obergerichtlichen Klärung der auftretenden Rechtsfragen, gesondert zuzulassen (§ 64 Abs. 3 Nr. 1 ArbGG).

Ihre Anwälte

Philipp Gabrys

Kanzleigründer, Rechtsanwalt und Fachanwalt für IT-Recht

Dennis Jeschke

Rechtsanwalt und Notar
Fachanwalt für IT-Recht

Corinna Bernauer

Rechtsanwältin und Autorin von Fachliteratur zum Datenschutzrecht