Eine Verbandspräsidentin verbreitete Informationen zur Krankheit eines Funktionärs in einer Mitglieder-Rundmail. Daraufhin wurde sie zu Schadenersatz von 10.000 Euro verurteilt. Das Urteil zeigt, dass Datenschutz auch in Non-Profits ganz zentral ist. Bei Verstößen drohen nicht nur negative Folgen für euren Verein, eure gGmbH oder eure Stiftung. Als Führungskräfte und Vorstandsmitglieder haftet ihr unter Umständen auch persönlich.
Der Fall: Streit zwischen Verbandspräsidentin und technischem Leiter
In einem Luftsportverband aus Nordrhein-Westfalen waren Konflikte ausgebrochen. Der Verband vereint unter anderem Fallschirmspringer*innen, Gleitflieger*innen und Ballonfahrer*innen. Er organisiert auch die Ausbildung seiner Mitglieder.
Dafür zuständig war ein Mann, der seit Langem als technischer Leiter angestellt war. Er lag mit der Verbandsleitung im Streit und war über viele Monate hinweg krankgemeldet. Gleichzeitig machte er in einem Schreiben an die Verbandsverantwortlichen deutlich, dass er den Geschäftsführer und die Präsidentin für inkompetent hielt.
Die Präsidentin reagierte mit einem Rundschreiben an die rund 10.000 Verbandsmitglieder. Sie schrieb von den Vorwürfen und der Langzeiterkrankung und gab die Kündigung des technischen Leiters bekannt. Es gab keinen Vorstandsbeschluss dazu, ein Schreiben mit diesem Inhalt zu verfassen.
Später wurde die Kündigung zurückgenommen und die Verbandspräsidentin abgewählt. Der Mann ließ die Sache jedoch nicht auf sich beruhen. Er verklagte die frühere Präsidentin – nicht etwa den Verband. Die Klage war erfolgreich: Das Arbeitsgericht Duisburg wertete das Rundschreiben der Präsidentin als Datenschutzverstoß und sprach ihm 10.000 Euro Schadenersatz zu (ArbG Duisburg, 26.09.2024 – 3 Ca 77/24).
Bestimmte Personendaten sind besonders streng geschützt
Die Datenschutzverstoß der Verbandspräsidentin bestand darin, dass sie die Langzeiterkrankung des Arbeitnehmers den fast 10.000 Verbandsmitgliedern mitgeteilt hatte. Es gab keine Vorschrift, die das erfordert hätte, und keine Einwilligung des Mannes in die Weitergabe dieser personenbezogenen Informationen.
Die Datenschutzgrundverordnung der EU, kurz DSGVO, gilt EU-weit. Ihre Kernaussage: Personenbezogene Daten dürfen nur dann abgefragt, gespeichert, verarbeitet und weitergegeben werden, wenn eine Vorschrift das erfordert oder die Betreffenden eingewilligt haben. Von diesem Grundsatz gibt es nur wenige Ausnahmen.
Außerdem gibt es besondere personenbezogenen Informationen, die die DSGVO besonders schützt (Art. 9 DSGVO). Dazu gehören:
- Gesundheitsdaten beziehungsweise Informationen über Krankheiten, Krankenzeiten etc.
- Daten zum Sexualleben und zur sexuellen Orientierung
- Daten zur „rassischen und ethnischen Herkunft“
- Informationen über politische Meinungen sowie zu religiösen oder weltanschaulichen Überzeugungen
- genetische und biometrische Daten
Die Ex-Verbandspräsidentin haftet persönlich
Der Fall zeigt, dass Datenschutzverletzungen in Non-Profits für Vorstände und Geschäftsführungen brisant werden können – bis hin zu ihren privaten Finanzen.
- Die Schadenersatzklage richtete sich gegen die Ex-Verbandspräsidentin und nicht gegen den Verband. Das war eine bewusste Entscheidung des technischen Leiters, der den Verband als seinen Arbeitgeber „heraushalten“ wollte. Das Gericht stufte die Frau als „Verantwortliche“ im Sinne der DSGVO ein. Da sie ihre Mitteilung nicht durch einen Vorstandsbeschluss abgesichert hatte, war sie persönlich für das Rundschreiben haftbar.
- Das Gericht sah zwar keinen direkten finanziellen Schaden durch diese Indiskretion. Es wertete das Bekanntwerden der Informationen jedoch als immateriellen Schaden des technischen Leiters, weil dadurch die fast 10.000 Verbandsmitglieder von „der Erkrankung, der Dauer seiner Erkrankung sowie dem vermeintlichen Vortäuschen seiner Erkrankung“ erfahren hätten. Er verbringe seine Freizeit auf Flugplätzen, dort müsse er dies „korrigieren, bestreiten und richtigstellen“, so die Urteilsbegründung. Dass dieser „negative Beigeschmack“ durch den Datenschutzverstoß verursacht war, genügte für Schadenersatzansprüche. „Erhebliche“ immaterielle Schäden waren nicht notwendig. Damit folgte das Arbeitsgericht der Rechtsprechung des Europäischen Gerichtshofs.
- Der besondere Schutz, den Gesundheitsinformationen in der DSGVO genießen, war mit Sicherheit ein Faktor für den Schadenersatzanspruch in dieser Höhe.
- Der Fall wurde vor dem Arbeitsgericht verhandelt, da der technische Leiter in seiner Eigenschaft als Arbeitnehmer in den Fall verwickelt war. Hätte er sein Amt ehrenamtlich versehen, wäre das Landgericht zuständig gewesen. Die Entscheidung wäre aber auch dort möglich gewesen.
Datenschutz in Non-Profits ist wichtig – Streitkultur noch wichtiger
Wie verhindert ihr, dass etwas ähnliches in eurer Organisation passiert? Nehmt das Thema Datenschutz ernst. Nicht nur, weil das gesetzlich vorgeschrieben ist – Hinweise liefert der Beitrag „Vorsicht, Datenschutz: Diese Regeln gelten für Mitgliederlisten & Co.“. Sondern auch aus Respekt vor der „informationellen Selbstbestimmung“. Ganz besonders wichtig ist ein sorgfältiger Umgang mit Personendaten, wenn ihr euch um schutzbedürftige Menschen kümmert. Aber auch sonst ist Bewusstsein für Datenschutz eine Frage der Haltung, ob gegenüber Mitarbeitenden oder anderen Personen.
Der Fall hat darüber hinaus eine weitere Komponente. Er zeigt, wie sehr eine Non-Profit von guten, etablierten Mechanismen zur Konfliktlösung lebt. Wenn Vorstandsmitglieder eines großen Vereins einen internen Konflikt ausfechten, indem sie persönliche Details nach außen tragen, ist mangelnde DSGVO-Compliance nicht mehr das einzige Problem. Dagegen ist eine von Respekt getragene Streitkultur eine wichtige Ressource für den Erfolg – sie vermeidet Eskalationen wie im Fall des Luftsportverbandes.
