Aktuelle MeldungenDatenschutz

Gerichtsurteil: Persönliche Haftung bei DSGVO-Verstößen!

Duisburger Urteil sendet Signal an HR-Verantwortliche

ARKM.marketing
     

ARKM NewsdeskLetztes Update 4. Juni 2025
0 2 Minuten Lesezeit
Persönliche Haftung bei DSGVO Verstoß auch für Arbeitgeber und Vereinsvorstände, wenn Gesundheitsdaten nicht geschützt werden.
Persönliche Haftung bei DSGVO Verstoß auch für Arbeitgeber und Vereinsvorstände, wenn Gesundheitsdaten nicht geschützt werden. Sinnbild: KI generiert.

Erstmals persönliche Haftung bei DSGVO-Verstop für einen Vereinsvorstand!
Duisburg. Das Arbeitsgericht Duisburg hat mit seinem Urteil vom 26.09.2024 (Az. 3 Ca 77/24) eine neue Ära der persönlichen Haftung für Datenschutzverstöße eingeläutet.

10.000 EUR persönliche Strafe wegen DSGVO Verstoß!

Wie der Datenschutzexperte Sven Oliver Rüsche in einem Blogbeitrag analysiert, zeigt der Fall, dass bereits ein vermeintlich kleines Versehen – hier die Weitergabe des Krankenstands eines Mitarbeiters an 10.000 Vereinsmitglieder – zu einer 10.000-€-Schadensersatzforderung aus der Privatschatulle führen kann. Für HR-Verantwortliche ist dies ein Weckruf: Der Umgang mit Gesundheitsdaten erfordert höchste Sensibilität und klare Prozesse.

Der Fall und seine Bedeutung für den Gesundheitsdatenschutz

Der Vorfall scheint auf den ersten Blick banal: Eine Vereinsvorsitzende informierte per E-Mail über den Krankenstand eines Technischen Leiters und stellte dessen Erkrankung implizit infrage. Das Gericht wertete dies jedoch als Verstoß gegen Art. 9 DSGVO, der die Verarbeitung von Gesundheitsdaten ohne ausdrückliche Einwilligung oder gesetzliche Erlaubnis verbietet. Entscheidend war, dass bereits die Mitteilung „im Krankenstand“ als Gesundheitsdatum qualifiziert wurde – ein Detail, das vielen HR-Abteilungen nicht bewusst ist.

Gesundheitsdaten genießen nach der DSGVO einen besonderen Schutzstatus:

1.Sie fallen unter die „besonderen Kategorien personenbezogener Daten“ (Art. 9 Abs. 1 DSGVO).
2.Ihre Verarbeitung ist nur zulässig, wenn eine ausdrückliche Einwilligung vorliegt oder gesetzliche Ausnahmen greifen (z.B. Arbeitsrechtliche Pflichten nach § 26 BDSG).
3.Schon die unverschlüsselte Speicherung in offenen Systemen oder die Weitergabe an unbefugte Dritte kann eine Haftung auslösen.
Im Duisburger Fall fehlte beides: weder gab es eine Einwilligung des Betroffenen noch eine rechtliche Notwendigkeit, 10.000 Mitglieder über den Krankenstand zu informieren. Das Gericht sah hier eine klare Verletzung der Organisationspflicht durch die Verantwortliche.

Handlungsempfehlungen für HR-Verantwortliche

Das Urteil hat unmittelbare Konsequenzen für das Personalmanagement. Rüsche warnt in seinem Artikel zu Recht: „Fast jeder Hackerangriff birgt dasselbe Risiko – nur höher!“ Doch bereits im Alltag lauern Fallstricke.

Konkret empfiehlt sich für HR-Verantwortliche:

 

1. Striktes Informationsverbot über Krankheitsdaten
-Keine Mitteilungen über Abwesenheiten aufgrund von Krankheit in Newslettern, Teams-Chats oder Social Media (auch nicht in internen Gruppen).
-Ausnahmen gelten nur für enge Führungskreise zur Personalplanung, jedoch stets unter Verschluss.
2. Technische und organisatorische Schutzmaßnahmen
-Gesundheitsdaten (z.B. Atteste, AU-Bescheinigungen) verschlüsselt und zugriffsbeschränkt speichern.
-Löschkonzept implementieren: Daten nach Ende der Aufbewahrungsfrist (z.B. 3 Jahre nach Ende des Arbeitsverhältnisses) automatisiert entfernen .
3. Schulungen und Dokumentation
-Regelmäßige Sensibilisierung aller Mitarbeiter, die mit Personaldaten arbeiten (Art. 39 DSGVO).
-Schriftliche Verpflichtungserklärungen zur Vertraulichkeit, insbesondere für Führungskräfte
4. Notfallplan für Datenpannen
– Bei unbefugter Offenlegung von Gesundheitsdaten (z.B. durch Hackerangriff) innerhalb von 72 Stunden die Aufsichtsbehörde informieren (Art. 33 DSGVO).

Die Versicherungsfalle: Grobe Fahrlässigkeit wird teuer

Ein entscheidender Aspekt des Urteils, den Rüsche hervorhebt, ist die Ablehnung des Versicherungsschutzes wegen grober Fahrlässigkeit. Versicherer argumentieren hier regelmäßig, dass Basisvorkehrungen wie Zugriffskontrollen oder Schulungen fehlten – ein Vorwurf, der im Duisburger Fall durch das Fehlen einer datenschutzkonformen Kommunikationsrichtlinie bestätigt wurde.
Für Unternehmen bedeutet dies:
•Cyberversicherungen prüfen, ob sie DSGVO-Verstöße abdecken.
•Dokumentationspflicht ernst nehmen: Jede Schutzmaßnahme (z.B. Passwortrichtlinien, VPN-Nutzung) muss nachweisbar sein.

Datenschutz als Chefsache!

Das Duisburger Urteil verdeutlicht, dass Datenschutz nicht delegierbar ist. Geschäftsführer und Vorstände haften persönlich, wenn sie ihrer Pflicht zur risikobasierten Kontrolle (Art. 24 DSGVO) nicht nachkommen. Für HR-Verantwortliche gilt:

•Gesundheitsdaten sind Tabuzone – außerhalb enger, dokumentierter Prozesse.

•Technische Lösungen wie digitale Personalakten mit Rechte-Management (z.B. Zugriff nur für direkte Vorgesetzte) reduzieren Haftungsrisiken.

Wie Rüsche treffend feststellt:
„Wenn eine E-Mail 10.000 € kostet – wollen Sie sich einen Hackerangriff leisten?“
Die Antwort liegt in präventiven Maßnahmen, die nicht nur Strafen vermeiden, sondern auch das Vertrauen der Mitarbeiter stärken.
Quellenverweis: Dieser Artikel bezieht sich auf den Originalbeitrag „Persönliche Haftung bei DSGVO-Verstoß“ von Sven Oliver Rüsche auf SOR.de. Für vertiefende Informationen zu technischen Schutzmaßnahmen empfiehlt sich die Lektüre der zitierten DSGVO-Artikel und begleitenden Kommentare.
ARKM.marketing
 

Schlagwörter
ARKM NewsdeskLetztes Update 4. Juni 2025
0 2 Minuten Lesezeit
Zeige mehr

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Ich willige ein, dass meine Angaben aus diesem Kontaktformular gemäß Ihrer Datenschutzerklärung erfasst und verarbeitet werden. Bitte beachten: Die erteilte Einwilligung kann jederzeit für die Zukunft per E-Mail an datenschutz@sor.de (Datenschutzbeauftragter) widerrufen werden. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

Schaltfläche "Zurück zum Anfang"

Werbeblocker erkannt!

Werbeblocker erscheinen auf den ersten Blick praktisch, weil sie störende Anzeigen ausblenden. Doch viele Internetseiten finanzieren sich ausschließlich durch Werbung – das ist oft die einzige Möglichkeit, die Kosten für Redaktion, Technik und Personal zu decken. Wenn Nutzer einen Werbeblocker aktivieren, entziehen sie der Seite diese wichtige Einnahmequelle. Die Folge: Verlage und Webseitenbetreiber verlieren  Einnahmen, die oft sogar die Gehälter ganzer Teams oder Redaktionen gefährden. Ohne Werbeeinnahmen fehlen die Mittel, um hochwertige Inhalte kostenlos anzubieten. Das betrifft nicht nur große Medienhäuser, sondern auch kleine Blogs, Nischenportale und lokale Nachrichtenseiten, für die der Ausfall durch Werbeblocker existenzbedrohend sein kann. Wer regelmäßig eine werbefinanzierte Seite nutzt, sollte sich bewusst machen, dass der Betrieb und die Pflege dieser Angebote Geld kosten – genau wie bei einer Zeitung oder Zeitschrift, für die man selbstverständlich bezahlt. Werbeblocker sind daher unfair, weil sie die Gegenfinanzierung der Verlagskosten und Personalgehälter untergraben, während die Inhalte weiterhin kostenlos genutzt werden. Wer den Fortbestand unabhängiger, kostenloser Online-Inhalte sichern möchte, sollte deshalb auf den Einsatz von Werbeblockern verzichten oder zumindest Ausnahmen für seine Lieblingsseiten machen. Wenn Sie unsere Seite weiterhin lesen möchten, dann seien Sie fair! Danke.