Das Arbeitsgericht Duisburg hat im September 2024 eine Präsidentin eines Luftsportverbands persönlich zur Zahlung einer Entschädigung in Höhe von 10.000 Euro verurteilt, weil sie sensible Gesundheitsdaten eines Mitarbeiters ohne dessen Einwilligung an alle Vereinsmitglieder weitergab.
Das Urteil ist ein Weckruf für alle Vereinsvorstände: Wer Datenschutzvorgaben missachtet, riskiert nicht nur Imageschäden, sondern auch die eigene finanzielle Haftung. In diesem Beitrag erfahren Sie, wie es zu dem Urteil kam, welche rechtlichen Maßstäbe das Gericht anlegte und was das für die tägliche Vereinsarbeit bedeutet.
Der Fall: Gesundheitsdaten per Rundmail – und die Folgen
Im Zentrum des Falls stand ein Technischer Leiter eines großen Luftsportverbands (Kläger), der nach internen Streitigkeiten und längerer Krankheit von dessen Präsidentin (Beklagte) öffentlich an den Pranger gestellt wurde. In einem Rundschreiben an knapp 10.000 Mitglieder informierte die Präsidentin nicht nur über die Erkrankung und deren Dauer, sondern unterstellte dem Technischen Leiter auch, haltlose Vorwürfe gegen das Präsidium zu erheben. Die Kündigung des Technischen Leiters wurde später zurückgenommen, doch der Imageschaden war aus seiner Sicht bereits angerichtet: Der Kläger wurde auch in seiner Freizeit am Flugplatz immer wieder auf die Vorgänge angesprochen und sah seinen Ruf nachhaltig beschädigt.
Persönliche Haftung des Vorstands bei Datenschutzverstößen
Das Arbeitsgericht Duisburg sah in dem Verhalten der Präsidentin einen klaren Verstoß gegen die Datenschutz-Grundverordnung (DSGVO), insbesondere gegen Art. 5 Abs. 1 Buchst. a (Grundsätze der Verarbeitung) und Art. 9 Abs. 1 (Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten, insbesondere Gesundheitsdaten). Die Weitergabe der Informationen war nicht durch eine Einwilligung des Technischen Leiters gedeckt – auch nicht konkludent, obwohl er zuvor einen kleineren Personenkreis per E-Mail informiert hatte. Eine Einwilligung muss ausdrücklich und für den konkreten Zweck erteilt werden. Die Präsidentin konnte sich auch nicht auf eine der gesetzlichen Ausnahmen berufen, die eine Verarbeitung ohne Einwilligung erlauben würden.
Das Gericht stellte klar: Gesundheitsdaten sind besonders schützenswert. Bereits die Information, dass jemand (noch) krank ist, fällt unter diesen Schutz. Ein Verstoß gegen die DSGVO kann zu einem Anspruch auf immateriellen Schadensersatz führen – und zwar auch dann, wenn der Schaden „nur“ im Verlust des sozialen Ansehens oder der Rufschädigung besteht. Für die Bemessung des Schmerzensgeldes war entscheidend, dass fast 10.000 Personen von den sensiblen Daten erfuhren und der Kläger auch privat mit den Folgen zu kämpfen hatte. Die Präsidentin haftete persönlich, da sie als Verantwortliche im Sinne der DSGVO handelte.
Die Schlüsselargumente: Warum das Urteil für die Praxis so wichtig ist
Das Urteil zeigt, wie schnell Vereinsvorstände in die persönliche Haftung geraten können. Entscheidend ist nicht, ob der Vorstand in bester Absicht handelte oder glaubte, im Interesse des Vereins zu informieren. Maßgeblich ist allein, ob die datenschutzrechtlichen Vorgaben eingehalten wurden. Besonders brisant: Die Haftung trifft nicht den Verein, sondern das handelnde Vorstandsmitglied persönlich, wenn es als Verantwortlicher im Sinne des DSGVO eigenmächtig oder ohne ausreichende Beschlusslage handelt.
Möchten Sie Neuigkeiten wie diese monatlich in Ihr Postfach erhalten? Abonnieren Sie hier unseren Newsletter Nonprofitrecht aktuell.
Das Gericht betonte zudem, dass der Schadensersatz nach der DSGVO eine reine Ausgleichsfunktion hat – es geht also nicht um Strafe, sondern um den vollständigen Ausgleich des entstandenen Schadens. Die Schwelle für einen immateriellen Schaden ist niedrig: Schon die Rufschädigung durch eine unzulässige Datenverarbeitung kann einen Anspruch begründen. Für Vorstände bedeutet das: Sensible Informationen dürfen niemals ohne klare Rechtsgrundlage oder ausdrückliche Einwilligung veröffentlicht werden, auch nicht im Rahmen von Vereinskommunikation.
Vorsicht beim Umgang mit sensiblen Mitgliederdaten
Das Urteil des Arbeitsgerichts Duisburg ist ein deutliches Signal an alle Vereinsvorstände: Wer mit sensiblen Mitgliederdaten oder Mitarbeiterdaten arbeitet, muss die Vorgaben der DSGVO genau kennen und strikt einhalten. Schon kleine Fehler können erhebliche persönliche Konsequenzen haben. Vorstände sollten sich regelmäßig fortbilden, interne Abläufe und Kommunikationswege auf Datenschutzkonformität prüfen und im Zweifel eine rechtliche Beratung einholen, bevor sensible Informationen weitergegeben werden.
Das NPO-Team unterstützt Sie gerne individuell bei allen Fragen rund um Governance, Vorstandshaftung und Gemeinnützigkeit – sprechen Sie uns an!
Weiterlesen:
Gesundheitsdatenschutz
Persönliche Haftung bei DSGVO-Verstößen – Das sollten Geschäftsführer wissen
