Persönliche Haftung eines Vereinsvorstands wegen Datenschutzverstoßes

Duisburg zur Reichweite des Art. 82 : Die persönliche Inanspruchnahme eines Vereinsvorstands wegen Datenschutzverstößen stellt in der datenschutzrechtlichen Rechtsprechung bislang ein Randphänomen dar – umso bemerkenswerter ist das Urteil des Arbeitsgerichts Duisburg vom 26. September 2024 (Az. 3 Ca 77/24).

Es bejaht nicht nur einen Verstoß gegen die -Grundverordnung (DSGVO), sondern erkennt dem klagenden auch einen immateriellen Schadensersatzanspruch in Höhe von 10.000 Euro unmittelbar gegen die ehemalige Vereinspräsidentin als natürliche Person zu. Damit beleuchtet die Entscheidung grundsätzliche Fragen der datenschutzrechtlichen Verantwortlichkeit, des Persönlichkeitsrechtsschutzes und der Haftung im Ehrenamt.

Inhalte Anzeigen

Worum ging es?

Ausgangspunkt des Rechtsstreits war eine vereinsinterne Auseinandersetzung zwischen dem Kläger, einem langjährigen technischen Leiter im Verband, und der damaligen Präsidentin des Luftsportverbands X e. V. Inmitten einer angespannten arbeitsrechtlichen Konfliktlage, die durch längere Krankheitsphasen und interne Vorwürfe geprägt war, versandte die Präsidentin zwei Rundschreiben an alle rund 10.000 Mitglieder des Verbands. In diesen E-Mails informierte sie nicht nur über den Gesundheitszustand des Klägers, sondern unterstellte ihm zugleich haltlose Vorwürfe und destruktive Absichten gegenüber der Verbandsführung. Eine ausdrückliche Beschlusslage des Präsidiums zum Versand dieser Schreiben bestand nicht.

Entscheidung des Gerichts

Das Gericht stellte in seiner rechtlichen Würdigung zunächst klar, dass die Beklagte in ihrer Funktion als Präsidentin nicht lediglich für den Verband handelte, sondern im datenschutzrechtlichen Sinne als „Verantwortliche“ im Sinne des Art. 4 Nr. 7 DSGVO anzusehen war. Ihre Entscheidung, personenbezogene Gesundheitsdaten – konkret: die Erkrankung und deren mutmaßliche Ursache – ohne ausreichende rechtliche Grundlage an einen großen Empfängerkreis weiterzugeben, verletzte die Vorgaben der Art. 5 Abs. 1 lit. a und Art. 6 Abs. 1 DSGVO. Besonders schwerwiegend fiel ins Gewicht, dass es sich um besonders schützenswerte Gesundheitsdaten im Sinne des Art. 9 Abs. 1 DSGVO handelte, für deren Verarbeitung es keinerlei Rechtfertigung gab.

In der Verbreitung dieser Informationen sah das Gericht eine unzulässige Offenlegung sensibler Daten, die weder durch eine wirksame Einwilligung noch durch einen gesetzlichen Erlaubnistatbestand gedeckt war. Die E-Mail des Klägers an das geschäftsführende Präsidium, in der er seine gesundheitliche Situation thematisiert hatte, könne – so das Gericht – nicht als konkludente Zustimmung zur öffentlichen Weitergabe dieser Informationen verstanden werden. Denn der vom Kläger gewählte Adressatenkreis war auf eine interne Debatte beschränkt, während das Rundschreiben der Beklagten gezielt die Verbandsebene mitgliederübergreifend adressierte.

Rechtsdogmatisch besonders hervorzuheben ist, dass das Arbeitsgericht den immateriellen Schadensbegriff im Sinne des Art. 82 Abs. 1 DSGVO weit auslegt. Es folgt damit der Rechtsprechung des EuGH, der keinen Erheblichkeitsschwellenwert für immaterielle Schäden fordert, wohl aber eine kausale Beeinträchtigung des Betroffenen durch den Datenschutzverstoß verlangt. Diesen sah das Gericht im konkreten Fall darin, dass der Kläger auch außerhalb seines beruflichen Kontexts – insbesondere auf Flugplätzen, die auch seinen Freizeitbereich tangierten – mit den negativen Aussagen der Rundschreiben konfrontiert wurde. Die damit einhergehende Rufschädigung und soziale Stigmatisierung begründen nach Ansicht der Kammer einen relevanten immateriellen Schaden.

Rechtsanwalt Jens Ferner, TOP-Strafverteidiger und IT-Rechts-Experte - Fachanwalt für Strafrecht und Fachanwalt für IT-Recht

Persönliche Haftung

Bemerkenswert ist nicht zuletzt die persönliche Haftung der Beklagten. Das Gericht bejahte ausdrücklich die Passivlegitimation der früheren Präsidentin und wies ihre Einwendung zurück, sie habe lediglich im Namen des Vereins gehandelt. Der Umstand, dass kein Präsidiumsbeschluss für den Versand der Rundschreiben vorlag, machte deutlich, dass sie im datenschutzrechtlichen Sinne eigenverantwortlich agiert hatte. Eine Delegation der Verantwortung auf die juristische Person des Vereins sei unter diesen Umständen nicht möglich gewesen – auch und gerade nicht im Ehrenamt. Die Kammer lehnte es zudem ab, die datenschutzrechtliche Verantwortlichkeit auf die institutionelle Sphäre des Vereins zu begrenzen. Die DSGVO differenziere nicht zwischen haupt- oder ehrenamtlich tätigen Funktionsträgern, sondern knüpfe allein an die faktische Kontrolle über die Datenverarbeitung an.

Der zugesprochene Schadensersatz in Höhe von 10.000 Euro orientierte sich am Umfang der Datenverbreitung, der Schwere des Eingriffs sowie dem besonderen Schutzstatus von Gesundheitsdaten. Eine abschreckende oder gar strafende Komponente – wie sie im angloamerikanischen punitive damages-Kontext denkbar wäre – lehnte das Gericht ausdrücklich ab und stellte stattdessen die ausgleichende Funktion des Art. 82 DSGVO in den Vordergrund.

Ausblick

Diese Entscheidung hat das Potenzial, die Praxis der datenschutzrechtlichen Verantwortlichkeit im Vereinswesen nachhaltig zu verändern. Sie macht deutlich, dass Datenschutzverstöße nicht folgenlos bleiben – auch nicht im ehrenamtlichen Engagement, was wiederum die Frage aufwirft, ob hier die Justiz Anreize schafft, in dieser Funktion Arbeitsplätze abzuschaffen.

Funktionsträger, die verarbeiten, sind jedenfalls gut beraten, sich der Tragweite ihrer Informationsweitergabe bewusst zu sein. Die Grenzen zwischen interner Kommunikation und öffentlicher Diskreditierung sind schmal, aber haftungsträchtig. Das Urteil des Arbeitsgerichts Duisburg setzt hier ein eindringliches Zeichen für mehr Sensibilität im Umgang mit sensiblen personenbezogenen Daten – gerade auch in zivilgesellschaftlichen Strukturen.

Rechtsanwalt Jens Ferner
Rechtsanwalt Jens Ferner
Fachanwalt für Strafrecht & IT-Recht bei Anwaltskanzlei Ferner Alsdorf
Rechtsanwalt Jens Ferner ist Fachanwalt für Strafrecht sowie Fachanwalt für IT-Recht und widmet sich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht - mit Schwerpunkten in Cybercrime, Cybersecurity, Softwarerecht und Managerhaftung. Er ist zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht sowie zur EU-Staatsanwaltschaft. Als Softwareentwickler ist er in Python zertifiziert und hat IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen und im Einzelfall Fälle im Arbeitsrecht übernommen!
Rechtsanwalt Jens Ferner
Letzte Artikel von Rechtsanwalt Jens Ferner (Alle anzeigen)

Von Rechtsanwalt Jens Ferner

Rechtsanwalt Jens Ferner ist Fachanwalt für Strafrecht sowie Fachanwalt für IT-Recht und widmet sich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht - mit Schwerpunkten in Cybercrime, Cybersecurity, Softwarerecht und Managerhaftung. Er ist zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht sowie zur EU-Staatsanwaltschaft. Als Softwareentwickler ist er in Python zertifiziert und hat IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht inkl. IT-Sicherheitsrecht - ergänzt um Arbeitsrecht mit Fokus auf Managerhaftung. Von Verbrauchern werden allein Strafverteidigungen und im Einzelfall Fälle im Arbeitsrecht übernommen!