Header-Bild mit Ruderteam
Zurück zur Übersicht

Persönliche Haftung des Vorstands bei DSGVO-Verstößen

Das aktuelle FA-Rechtstelegramm nimmt unter anderem das Thema Datenschutz in den Blick. Nach einem aktuellen Urteil des Arbeitsgerichts Duisburg können Vorstände für Datenschutzverstöße persönlich haftbar gemacht werden, selbst wenn es sich um vermeintlich kleine Fehler handelt.

Worum geht es?

Das ArbG Duisburg hat in seinem o.a. Urteil die persönliche Haftung von Vereinsvorständen bei Datenschutzverstößen bekräftigt. Der Fall betraf die Weitergabe von Gesundheitsdaten eines Mitarbeiters eines Verbandes ohne dessen Einwilligung, was zu einem Schadensersatzanspruch in Höhe von 10.000 Euro gegen den Vorstand führte. Das Urteil zeigt, dass Vorstände für Datenschutzverstöße persönlich haftbar gemacht werden können, selbst wenn es sich um vermeintlich kleine Fehler handelt. Das Urteil unterstreicht die Bedeutung der DSGVO für Vereine und deren Vorstände. Es zeigt, dass Vorstände nicht nur für die Einhaltung datenschutzrechtlicher Bestimmungen innerhalb des Vereins verantwortlich sind, sondern auch persönlich für daraus resultierende Schäden haften können. 

Kernaussage

Der Vorstand nach § 26 BGB haftet persönlich auf Schadenersatz (Art. 82 DSGVO) bei Verstößen gegen die DSGVO, wenn personenbezogene Daten eines Mitarbeiters des Vereins ohne dessen Einwilligung weitergegeben werden. Die Einwilligung des Betroffenen kann nicht konkludent unterstellt werden, sondern muss ausdrücklich und für den konkreten Zweck erteilt werden.

Übrigens: wir bieten zahlreiche Webinare und Seminare zum Thema Datenschutz an. Schauen Sie doch einmal in unseren Weiterbildungskatalog!

Der Fall

Ein Mitarbeiter eines Verbandes wurde nach internen Streitigkeiten und längerer Krankheit von der Präsidentin des Verbandes öffentlich an den Pranger gestellt, als die Mitglieder des Verbandes in einem Rundschreiben über die Erkrankung und deren Dauer informiert wurden. Dem Mitarbeiter wurde gekündigt, die Kündigung wurde später zurückgezogen.

Die Entscheidung

  • Verstoß der Präsidentin gegen die DSGVO

Das ArbG kam zu dem Ergebnis, dass in dem Verhalten der Präsidentin ein klarer Verstoß gegen die DSGVO, insbesondere  gegen Art. 5 Abs. 1 lit. a) (Grundsätze der Verarbeitung) und Art. 9 Abs.1 (Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten, hier Gesundheitsdaten), vorlag. Die Weitergabe dieser Informationen in einem öffentlichen Rundschreiben an die Mitglieder des Verbandes war auch nicht durch eine Einwilligung des Mitarbeiters gedeckt. Die Präsidentin konnte sich auch nicht auf einen anderen Erlaubnistatbestand des Art. 6 Abs. 1 DSGVO berufen.

  • Art. 9 DSGVO: Besondere Schutz der Gesundheitsdaten

Das Gericht stellte in seiner Entscheidung klar, dass Gesundheitsdaten besonders schützenswert sind. Bereits die Information, dass jemand (noch) krank ist, fällt unter diesen Schutz.

  • Anspruch  auf immateriellen Schadenersatz

Ein solcher Verstoß gegen die DSGVO kann zu einem Anspruch auf immateriellen Schadensersatz führen. Für die Bemessung des Schmerzensgeldes war u.a. entscheidend, dass fast 10.000 Mitgliedsvereine des Verbandes von den sensiblen Daten erfuhren und der betroffene Mitarbeiter auch privat mit den Folgen zu kämpfen hatte. 

Ergänzende Tipps und Hinweise für die Vorstandsarbeit

Dieses Urteil hat weitreichende Konsequenzen für Vereinsvorstände und andere Verantwortliche in Vereinen:

  • Persönliche Haftung: Vorstände können für DSGVO-Verstöße persönlich haftbar gemacht werden, auch wenn diese durch vermeintlich kleine Fehler verursacht wurden.
  • Sensibilität bei Gesundheitsdaten: Der Fall zeigt die besondere Bedeutung des Datenschutzes bei sensiblen Daten wie Gesundheitsdaten. Hier ist besondere Vorsicht geboten.
  • Präventive Maßnahmen: Vereine und ihre Vorstände sollten präventive Maßnahmen ergreifen, um Datenschutzverstöße zu vermeiden. Dazu gehören die Schulung von Mitarbeitern, die Einführung von Datenschutzrichtlinien und die Überprüfung der Verarbeitungsprozesse.

 

Quelle/Fundstelle: Arbeitsgericht Duisburg (ArbG), Urteil v. 26.09.2024, Az.: 3 Ca 77/24

Alle Themen des aktuellen Rechtstelegramms finden Sie hier in unserer Übersicht.