Was ist passiert? Bei einer Volkswagen-Tochtergesellschaft, der Volkswagen Group Services GmbH, sollen Arbeitsunfähigkeitszeiten (AU-Zeiten) und möglicherweise auch individuelle Krankengeschichten von Beschäftigten durch Führungskräfte in großen Konferenzen indiskret besprochen worden sein. So berichtete es unter anderem der Spiegel und der Norddeutsche Rundfunk. Die Klarnamen, das Alter und die Fehlzeiten von rund 600 Beschäftigten sollen zudem in einer Powerpoint-Präsentation dokumentiert worden sein. Es ging dabei um das allgegenwärtige arbeitsrechtliche Thema, wie mit den hohen AU-Quoten umzugehen ist beziehungsweise diese gesenkt werden können.
In der Sache sind Bemühungen, den grassierenden AU-Zeiten Einhalt zu gebieten, sicher gerechtfertigt. Gleichwohl ist nicht alles, was als Handlungsoption in den Sinn kommt, rechtlich erlaubt. Insbesondere aus dem Datenschutz folgen Anforderungen in Bezug auf die Vertraulichkeit der Datenverarbeitung, die bei VW offenbar verletzt wurden.
Wiederholte Datenschutzprobleme im Volkswagen-Konzern
Es handelt sich bei Volkswagen beileibe nicht um den ersten Datenschutzvorfall. Bereits in der Vergangenheit kam es bei einer VW-Tochter zu einem Datenleck, über das die Medien berichtet hatten: Ende 2024 ging es um die Bewegungsdaten von ca. 800.000 E-Autos sowie die Kontaktinformationen der Fahrzeughalter. Diese standen ungeschützt im Internet. Anhand der Bewegungsdaten konnte nachvollzogen werden, wer wann wo parkte. Ein gravierender Datenschutzvorfall, bei dem noch offen ist, ob und in welcher Höhe Volkswagen mit einem Bußgeld belegt wird. Bezüglich eines anderen Sachverhaltes kam es bereits zur Verhängung eines Bußgeldes in Höhe von 1,1 Mio. EUR, weil ein Testfahrzeug andere Verkehrsteilnehmer gefilmt hatte. In einem wiederum anderen Fall entging VW letztlich einem bereits festgesetzten Bußgeld in Höhe von 4,3 Mio. EUR.
Nun aber, ist das Volkswagen-Management, trotz gegenwärtig wohl ganz anderer Probleme, mit dem oben angeführten jüngsten Datenschutzvorfall konfrontiert. Wie ist der Sachverhalt datenschutz- und arbeitsrechtlich einzuordnen?
Gesundheitsdaten als besondere Kategorie: Wo VW die Grenze überschreitet
Die datenschutzrechtliche Dimension des Vorfalls ist evident: Unabhängig davon, ob Unbefugten konkrete Informationen über individuelle Krankengeschichten mitgeteilt wurden, kam es durch die Dokumentation der Klarnamen, des Alters und der Fehlzeiten der rund 600 Beschäftigten zu einer rechtswidrigen Verarbeitung personenbezogener Daten.
Bei Gesundheitsdaten handelt es sich um solche einer nach Art. 9 Abs. 1 der EU Datenschutz-Grundverordnung (DS-GVO) besonders geschützten Kategorie, bei der die Verarbeitung gemäß Art. 9 Abs. 2 DS-GVO besonderen Anforderungen genügen muss. Dennoch ist die Verarbeitung im Beschäftigungskontext unter den Voraussetzungen des Art. 88 Abs. 1, 9 Abs. 2 lit. b) DS-GVO im Rahmen der Erforderlichkeit erlaubt.
Der Arbeitgeber ist als datenschutzrechtlich verantwortliche Stelle (Art. 4 Nr. 7 DS-GVO) insbesondere an die Verarbeitungsgrundsätze des Art. 5 Abs. 1 DS‑GVO gebunden, wie unter anderen der Rechtmäßigkeit, der Zweckbindung, der Datenminimierung und der Integrität und Vertraulichkeit der Datenverarbeitung. Hiervon suspendiert auch nicht eine Einwilligung des Betroffenen nach Art. 7 DS-GVO.
Gegen die datenschutzrechtlichen Vorgaben hat die VW-Tochter verstoßen, wenn die AU-Zeiten einer Vielzahl von Beschäftigten mit Klarnamen und Lebensalter in einer Powerpoint-Präsentation gegenüber Unberechtigten offengelegt wurden. In den VW-Führungskräftekonferenzen, über die die Medien berichtet haben, sollen die Daten an Personen gelangt sein, bei denen keinerlei Grund dafür ersichtlich ist, warum diese von ihnen Kenntnis erlangen mussten. Ohne in eine genauere datenschutzrechtliche Analyse eintauchen zu müssen, wurde dann offensichtlich gegen die Verarbeitungsgrundsätze aus Art. 5 Abs. 1 DS-GVO verstoßen. VW hat folglich das einzig Richtige unternommen und den Vorfall der Datenschutzaufsicht gemeldet.
Bußgelder und Ansprüche: Wie teuer Fehlgriffe im Umgang mit Daten zur Arbeitsunfähigkeit werden können
Durch die Meldung ist VW allerdings nicht aus dem Schneider: Sowohl die Verhängung einer Geldbuße durch die Aufsichtsbehörde nach Maßgabe von Art. 83 DS-GVO als auch Schadenersatzansprüche der Betroffenen nach Art. 82 Abs. 1 DS-GVO sind möglich. Die aufgrund des bizarr weitreichenden und unbestimmten Sanktionsrahmens denkbaren Geldbußen sind Legion: nach Art. 83 Abs. 5 DS-GVO bis zu 20.000.000 EUR oder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangen Geschäftsjahres . Ob und gegebenenfalls in welcher Höhe es zur Verhängung einer Geldbuße kommen wird, ist offen.
Unabhängig davon hat jeder einzelne Betroffene Anspruch auf einen immateriellen Schadenersatz, was sich in der Summe für VW ebenfalls auf einen empfindlichen Betrag kumulieren kann. Der immaterielle Schadenersatzanspruch aus Art. 82 Abs. 1 DS-GVO, gerade in Bezug auf rechtwidrige Verarbeitungen gesundheitsbezogener Daten, beschäftigt bereits seit einiger Zeit die Gerichte: Schon durch den Gerichtshof der Europäischen Union (EuGH) im Urteil vom 11. April 2024 geklärt ist es, dass Arbeitgeber nicht von einer Haftung befreit sind, wenn Arbeitnehmer bei der Datenverarbeitung gegen verbindliche Anweisungen verstoßen haben (C-741/21).
Der Anspruch nach Art. 82 Abs. 1 DSGVO zielt darauf ab, dass die Betroffenen einen vollständigen Ausgleich des ihnen infolge des Datenschutzverstoßes konkret entstandenen Schadens erhalten sollen (EuGH, Urteil vom 20. Juni 2024 – C-182/22, C-189/22). Es geht dabei aber um Ausgleich für den erlittenen immateriellen Nachteil und nicht um Bestrafung oder um Abschreckung des/der Datenschutzverantwortlichen (EuGH, Urteil vom 25. Januar 2024 ‑ C 687/21; BAG, Urteil vom 25. Juli 2024 – 8 AZR 225/23). Der DS-GVO-Schadenersatzanspruch hat damit keine spezial- oder generalpräventive Zwecksetzung.
Der Nachweis eines eingetretenen Schadens ist zwar erforderlich, allerdings sind die Anforderungen denkbar gering: Selbst der kurzzeitige Verlust der Kontrolle über personenbezogene Daten kann einen immateriellen Schaden im Sinne des Art. 82 Abs. 1 DS-GVO begründen. Der Anspruch kennt auch gemäß des Urteils des Europäischen Gerichtshofes vom 11. April 2024 keine Geringfügigkeitsschwelle (C-741/21). Bereits negative Gefühle im Sinne von begründeten Befürchtungen infolge der Verletzung der informationellen Selbstbestimmung sollen im Einzelfall einen Anspruch auf immateriellen Schadenersatz begründen können, urteilte der EuGH am 14. Dezember 2023 (C-340/21); was dann aber selbstverständlich laut Urteil des Bundesarbeitsgerichts (BAG) vom 20. Juni 2024 der objektiven richterlichen Beurteilung unterliegt (8 AZR 124/23).
Gerichte ziehen die Linie: Wann seelische Belastung Geld wert ist
Die konkrete Höhe eines immateriellen Schadenersatzanspruchs aufgrund rechtswidriger Verarbeitung gesundheitsbezogener Daten ist einzelfallabhängig:
- Das BAG hat bei einer unzulässigen Überwachung eines einer vorgetäuschten Arbeitsunfähigkeit verdächtigten Arbeitnehmers durch Beauftragung einer Detektei einen Schadensersatzanspruch in Höhe von (nur) 1.500 EUR zuerkannt (Urteil vom 25. Juli 2024 – 8 AZR 225/23).
- Das Arbeitsgericht Duisburg ist in einem drastischen Fall, bei dem der Arbeitgeber unerlaubt Gesundheitsdaten eines Arbeitnehmers an Dritte weitergegeben hatte, weit darüber hinaus gegangen und hat einen immateriellen Schadenersatzanspruch in Höhe von 10.000 EUR zugesprochen (Urteil vom 26. September 2024 – 3 Ca 77/24).
- Bei einem Sachverhalt, bei dem sich eine Stadtverwaltung in einer Stellenausschreibung über den Gesundheitszustand des bisherigen Stelleninhabers geäußert hatte, hat das Verwaltungsgericht Stuttgart auf einen Schadenersatz in Höhe von 2.500 EUR erkannt (Urteil vom 20. Juni 2024 – 14 K 870/22).
- In einem wiederum anderen Fall, bei dem es nicht um einen Beschäftigungskontext ging, sondern um die Versendung einer unverschlüsselten E-Mail mitsamt Krankenakte durch eine gesetzliche Krankenkasse an den falschen Adressaten, hat das Oberlandesgericht Düsseldorf einen Schadenersatz in Höhe von 2.000 EUR als angemessenen Schadensausgleich für die erlittene seelische Belastung der Betroffenen angenommen (Urteil vom 28. Oktober 2021 – 16 U 275/20).
Klagen auf immateriellen Schadenersatz nach Art. 82 Abs. 1 DS-GVO haben somit Konjunktur und es würde überraschen, wenn von den rund 600 Beschäftigen, die vom jüngsten Datenschutzvorfall bei VW betroffen gewesen sein sollen, nicht einige auf den Plan träten, um ihren Anspruch geltend zu machen.
Um ihre Klage vorzubereiten, könnten sie zunächst einen datenschutzrechtlichen Auskunftsanspruch nach Art. 15 Abs. 1, 3 DS-GVO geltend machen, der ebenfalls die Gerichte seit Inkrafttreten der DS-GVO beschäftigt. Hiernach hat, so urteilte das EuGH am 4. Mai 2023 (C-487/21), jede betroffene Person anlasslos Anspruch auf Beauskunftung der von ihr verarbeiteten personenbezogenen Daten, der Informationen nach Art. 15 Abs. 1 lit a) bis h) DS-GVO sowie auf eine Datenkopie nach Art. 15 Abs. 3 DS-GVO. (C-487/21).
Nicht nur ein Problem für den Arbeitgeber: Haftung der Führungskräfte
Aber nicht nur Volkswagen, sondern auch den verantwortlichen Führungskräften, die auf den Datenschutz verpflichtet worden sein dürften, droht Ungemach: Diese haben durch die Preisgabe der Gesundheitsdaten Pflichten aus dem Arbeitsverhältnis verletzt. Dies gilt für die Mitarbeiter, die für die Erstellung und gegebenenfalls die Verteilung der Powerpoint-Präsentation mit den AU-Fehlzeiten verantwortlich sind; und – wenn tatsächlich über individuelle Krankengeschichten gesprochen worden sein sollte – auch für jene, die diese offenbart haben.
Die Verantwortlichen müssen mit arbeitsrechtlichen Konsequenzen bis hin zu fristlosen Kündigungen rechnen: Noch vor der Geltung der DS-GVO hat beispielsweise das Landesarbeitsgericht Berlin-Brandenburg mit Urteil vom 1. September 2016 (10 Sa 192/16) eine außerordentliche Kündigung bestätigt, bei der eine Mitarbeiterin eines Bürgeramtes vorsätzlich datenschutzrechtliche Vorgaben verletzt hatte, weil sie unbefugt Meldedaten hinsichtlich Personen aus dem persönlichen Umfeld abgerufen hatte. Es handelt sich um keinen Ausreißer: Auch nach der jüngeren Rechtsprechung der Instanzgerichte kann eine Datenschutzverletzung, insbesondere wenn sie Gesundheitsdaten zum Gegenstand hat, zur fristlosen Kündigung eines Arbeitsverhältnisses berechtigen (LAG Baden-Württemberg, Urteil vom 25. März 2022 – 7 Sa 63/21; LAG Hamburg, Urteil vom 18. Dezember 2023 – 3 Sa 37/23).
Lehren für HR: Vertraulichkeit von Gesundheitsdaten ist keine Kür, sondern Pflicht
Ob der neuerliche Datenschutzskandal für Volkswagen ohne Verhängung einer Geldbuße ausgehen wird, ist wenig wahrscheinlich. Dies schon deshalb nicht, weil VW bereits in der jüngeren Vergangenheit die Datenschutzaufsicht beschäftigt hatte. Unabhängig von einem Bußgeld wird sich VW mit immateriellen Schadenersatzansprüchen der betroffenen Mitarbeitenden nach Art. 82 Abs. 1 DS-GVO zu befassen haben.
Dr. Martin Kalf
Teilen auf
