Blog

Persönliche Haftung bei DSGVO-Verstoß

Das Risiko für Vorstände und Geschäftsführer

Sven Oliver Rüschevor 2 Wochen
0 2 Minuten gelesen
Persönliche Haftung bei DSGVO Verstoß durch die Weitergabe von Gesundheitsdaten durch den Arbeitgeber.
Persönliche Haftung bei DSGVO Verstoß durch die Weitergabe von Gesundheitsdaten durch den Arbeitgeber. Foto: KI generiertes Sinnbild.

Duisburg – Ein aktuelles Urteil beim Arbeitsgericht Duisburg sorgt für Aufschrei in der Datenschutzszene. Erstmals wurde eine Strafe – persönlich haftend – wegen einem DSGVO Verstoß in einem Vereinsrundschreiben zu einer persönlichen Strafe von 10.000 EUR verurteilt.

10.000 € persönliche Haftung für einen einzigen DSGVO-Fehler
– was bedeutet das für Unternehmen nach einem Hackerangriff?

Das aktuelle Urteil des Arbeitsgerichts Duisburg (Az. 3 Ca 77/24) zeigt, wie real und existenziell die persönliche Haftung für Datenschutzverstöße geworden ist. Ein Vereinsvorstand verschickte ein Rundschreiben mit dem Inhalt „Unser Leiter ist im Krankenstand“ – Ergebnis: 10.000 € Schadensersatz aus eigener Tasche, weil keine Einwilligung vorlag und sensible Gesundheitsdaten offengelegt wurden.
Was bedeutet das Urteil für Vorstände und Geschäftsführer?

Das Duisburger Urteil ist ein Einschnitt: Es zeigt, dass schon ein einziger, scheinbar kleiner Fehler zu einer hohen persönlichen Haftung führen kann. Während hier eine E-Mail genügte, um eine fünfstellige Summe fällig werden zu lassen, sind die Risiken bei einem Hackerangriff ungleich größer. Denn nach einem erfolgreichen Cyberangriff landen oft massenhaft sensible Kundendaten, Gehaltsdaten oder Gesundheitsinformationen im Darknet – und damit wird für alle sichtbar, wie gravierend die DSGVO-Verstöße im Unternehmen tatsächlich sind.

Persönliche Haftung bei DSGVO-Verstoß
Was war im o.g. Fall geschehen?

Das Urteil des Arbeitsgerichts Duisburg (Az. 3 Ca 77/24) vom 26.09.2024 betrifft die unzulässige Weitergabe von Gesundheitsdaten eines Arbeitnehmers durch den Arbeitgeber und hat für erhebliches Aufsehen im Datenschutzrecht gesorgt.

Sachverhalt:
Ein technischer Leiter eines Luftsport-Verbands war seit November 2022 längerfristig erkrankt. Die Präsidentin des Vereins informierte am 11.06.2023 in einer E-Mail rund 10.000 Vereinsmitglieder darüber, dass sich dieser Mitarbeiter „im Krankenstand“ befinde. In derselben Mail wurden zudem interne Konflikte und der Vorwurf des Vortäuschens der Erkrankung thematisiert.

Rechtliche Bewertung:
Das Gericht stellte fest, dass es sich bei der Information über den Krankenstand eindeutig um ein Gesundheitsdatum handelt. Nach Art. 9 Abs. 1 DSGVO ist die Verarbeitung solcher besonderer personenbezogener Daten grundsätzlich verboten, es sei denn, es liegt eine ausdrückliche Einwilligung oder eine andere Rechtsgrundlage nach Art. 9 Abs. 2 DSGVO vor. Eine solche Einwilligung lag hier nicht vor.

Welche DSGVO Handlungsempfehlungen spreche ich als Datenschutzbeauftragter aus?

  • Keine Information über die krankheitsbedingte Abwesenheit einzelner Mitarbeiter
    – via Newsletter
    – via WhatsApp
    – via SocialMedia Account (auch nicht in geschlossenen nicht öffentlichen Gruppen!)
  • Arbeitsanweisung an alle Mitarbeiter solche Informationen vertraulich zu behandeln
  • Information solcher Abwesenheiten ausschließlich an leitende Angestellte aus der entsprechenden Abteilung. Hier liegt ein berechtigtes Interesse (Personalplanung) vor.

Brauchen Sie einen externen Datenschutzbeauftragten? Dann buchen Sie jetzt ein kostenfreies Erstgespräch.

Schlagwörter
Sven Oliver Rüschevor 2 Wochen
0 2 Minuten gelesen

Sven Oliver Rüsche

Hallo, mein Name ist Sven Oliver Rüsche. Seit 1999 bin ich selbständiger Unternehmensberater. Hin und wieder agiere ich als Internetexperte in den europäischen Medien, oder verfasse Fachartikel in zahlreichen Blogs. Meine Schwerpunkte sind dabei Online-Marketing, SEO/SEM, Mobilkommunikation, Unternehmerweiterbildung / Karriere-Themen, Bauen & Wohnen, sowie Tourismus. In meiner Heimatregion gehöre ich mit zu den bekanntesten Meinungsmachern / Influencer. Ich bin geschäftsführender Gesellschafter vom ARKM Online Verlag aus Bergneustadt. Als Journalist bin ich Mitglied im DPV (Deutscher Presse Verband - Verband für Journalisten e.V.). Ich helfe Menschen, Ihre Unternehmer- und Internetfähigkeiten zu verbessern und mache mit meiner Digitalstrategie ihr Tagesgeschäft dauerhaft erfolgreich.

Ähnliche Artikel

Externer Datenschutzbeauftragter - Wer benötigt einen?

Wer braucht einen externen Datenschutzbeauftragten?

3. Juli 2023
Wann sind Einwilligungserklärungen laut DSGVO wirklich notwendig?

DSGVO – Wann sind Einwilligungserklärungen wirklich nötig?

29. Juni 2018
S3-Objektspeicher - im Rechenzentrum exemplarisch.

S3-Objektspeicher und die 3-2-1-Backup-Regel schützen vor Ransomware

28. März 2024
Sven Oliver Rüsche (SOR.DE) auf der ITB in Berlin (Archivaufnahme).

IFA 2016 – Digitales Schaufenster, wie wir morgen leben.

6. August 2016

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Ich willige ein, dass meine Angaben aus diesem Kontaktformular gemäß Ihrer Datenschutzerklärung erfasst und verarbeitet werden. Bitte beachten: Die erteilte Einwilligung kann jederzeit für die Zukunft per E-Mail an datenschutz@sor.de (Datenschutzbeauftragter) widerrufen werden. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

© Copyright 1996 - 2025, Alle Rechte vorbehalten  |  Berater bei: ARKM - Die Internetexperten.
Die bereitgestellten Informationen dienen nur der allgemeinen Information und stellen keine Rechtsberatung dar. Obwohl ich mich bemühe, genaue und aktuelle Informationen zu liefern, kann ich keine Gewähr für die Richtigkeit, Vollständigkeit oder Aktualität der bereitgestellten Informationen übernehmen.

Die Nutzung dieser Informationen erfolgt auf eigene Verantwortung. Für konkrete rechtliche Fragen sollten Sie stets einen qualifizierten Rechtsberater konsultieren. Rechtliche Angelegenheiten können komplex sein und erfordern eine individuelle Beratung, die auf Ihre spezifischen Umstände und Bedürfnisse zugeschnitten ist.

Es wird keine Haftung für Schäden oder Verluste übernommen, die durch den Gebrauch oder das Vertrauen auf die bereitgestellten Informationen entstehen. Jegliche Handlungen, die aufgrund der Informationen auf dieser Plattform erfolgen, geschehen auf eigenes Risiko.

Bitte beachten Sie, dass Gesetze und Vorschriften sich ändern können und die hier bereitgestellten Informationen möglicherweise nicht immer aktuell oder vollständig sind. Für eine individuelle Rechtsberatung wenden Sie sich bitte an einen qualifizierten Rechtsberater, der Ihre spezifischen Umstände angemessen berücksichtigt.
Schaltfläche "Zurück zum Anfang"