Öffentliche Stellen und Unternehmen achten normalerweise bei der Erstellung und Veröffentlichung von Stellenausschreibungen auf jedes Wort, um sich rechtskonform zu verhalten und kein Einfallstor für rechtliche Ansprüche zu schaffen. Umso erstaunlicher sind dann offenkundige Datenschutzverstöße nach der DSGVO, die zu einer erfolgreichen Klage auf Schadensersatz führen können.
So entschied jüngst das VG Stuttgart mit Urteil vom 20.06.2024, dass einem Kläger ein Schadensersatz in Höhe von 2.500 Euro zustehe, nachdem der (frühere) Dienstherr, die Stadt P., als Verantwortlicher in einer Stellenausschreibung auch Gesundheitsdaten von ihm verarbeitet hatte.
In der streitgegenständlichen Stellenausschreibung hieß es u. a.:
„Aufgrund eines amtsärztlichen Gutachtens zur Untersuchung der Dienstfähigkeit des bisherigen Amtsinhabers hat der Gemeinderat der Stadt P. der Einleitung eines Verfahrens zur Versetzung in den Ruhestand wegen festgestellter Dienstunfähigkeit sowie der Wiederbesetzung der Amtsleiterstelle zugestimmt. Deshalb suchen wir eine/n neue/n Leiter/in des Hauptamts.“
Aus diesen Angaben in der Stellenbeschreibung im Kontext mit der Neubesetzung der Stelle des Amtsleiters lassen sich direkt personenbezogene Daten – hier insbesondere zur Gesundheit – des Klägers gewinnen. Die Stellenbeschreibung wurde per E-Mail an 83 Empfänger versandt, sodass die DSGVO hier zur Anwendung kommt und eine Rechtsgrundlage erforderlich ist. Für die Verarbeitung von besonderen Kategorien personenbezogener Daten (wie Gesundheitsdaten) bedarf es einer (weiteren) datenschutzrechtlichen Rechtsgrundlage.
Das Gericht stellte fest:
„Ein Verstoß gegen das Verbot der Verarbeitung von Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO liegt jedoch in der Bezugnahme auf das Zurruhesetzungsverfahren des Klägers in der Stellenausschreibung der Beklagten. Soweit darin die „festgestellte Dienstunfähigkeit“ des Klägers erwähnt wird, handelt es sich um Gesundheitsdaten im Sinne des Art. 4 Nr. 15 DSGVO. Gesundheitsdaten sind nach Art. 4 Nr. 15 DSGVO personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen. Die Beurteilung der Arbeitsfähigkeit bzw. Dienstfähigkeit aus medizinischer bzw. psychologischer Sicht stellt ein Gesundheitsdatum in diesem Sinne dar (vgl. LAG Düsseldorf, Urteil vom 11.03.2020 – 12 Sa 186/19, Rn. 150, juris), weil die Arbeitsfähigkeit auf dem Gesundheitszustand basiert. Mit der in der Stellenanzeige erwähnten Person des „bisherigen Amtsinhabers“ ist ersichtlich und für Dritte, selbst Außenstehende, ohne weiteres erkennbar der Kläger individualisiert.“
Die in Art. 9 Abs. 2 DSGVO normierten Rechtsgrundlagen für die Verarbeitung von besonderen Kategorien personenbezogener Daten griffen hier nach Auffassung des Gerichts nicht. So war die Datenverarbeitung nicht für die
„Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich“ (Art. 9 Abs. 2 lit. h DSGVO).
Auch die weiteren, denkbaren Rechtsgrundlagen aus Art. 9 Abs. 2 DSGVO lehnte das Gericht gut begründet ab. Mangels Rechtsgrundlage wurde die Datenverarbeitung als rechtswidrig eingestuft. Derartiges könnte auch von einer Datenschutzaufsichtsbehörde sanktioniert werden.
Die weiteren Anforderungen für die Geltendmachung des Schadensersatzes nach Art. 82 DSGVO, wie die Begründung eines Schadens des Klägers, nahm das Gericht an und führte hierzu vor dem Hintergrund der Rechtsprechung aus:
„Der Kläger macht geltend, er sei durch die Stellenausschreibung als dienstunfähig herabgewürdigt worden. Der Ausgang des Zurruhesetzungsverfahrens sei vorweggenommen worden. Zudem habe er befürchten müssen, dass die – nicht als vertraulich gekennzeichnete – E-Mail an eine Vielzahl von (auch externen) Empfängern weitergeleitet werden könnte. Er sei auf der Straße von mindestens einer bei der Beklagten beschäftigten Person unvermittelt auf seinen Gesundheitszustand angesprochen worden. Bei diesen von ihm geschilderten psychischen Belastungen handelt es sich um immaterielle Beeinträchtigungen im Sinne des Art. 82 Abs. 1 DSGVO. Ob die E-Mail, wie von der Beklagten unwidersprochen vorgetragen, tatsächlich nicht extern weitergeleitet wurde, ist für die Schadensentstehung unbeachtlich. Es genügt die interne Herabwürdigung in Verbindung mit der konkreten Gefahr der externen Weiterleitung sensibler Gesundheitsdaten und den damit zusammenhängenden – nicht unbegründeten – Befürchtungen des Klägers. Der Datenschutzverstoß war auch kausal für den Schaden. Gerade durch den Versand der E-Mail wurden die Gesundheitsdaten des Klägers in die (jedenfalls interne) Öffentlichkeit getragen und kam es zu den Schadensfolgen.“
Auch diese Feststellungen des Gerichts überzeugen. Die Höhe des hier zugesprochenen Schadensersatzes (2.500 Euro) erscheint in dieser Situation ebenso angemessen zu sein, da hier Gesundheitsdaten des Klägers betroffen waren.
Sensible Informationen in Stellenausschreibungen
Diese rechtlichen Überlegungen lassen sich auch auf andere Szenarien übertragen, z. B. auf Stellenbeschreibungen, die Rückschlüsse auf langwierige Krankheiten oder Mutterschutz bzw. Elternzeit einer Person zulassen. Wird bspw. eine befristete Stelle „als Vertretung während der Elternzeit“ für eine eindeutige und prominente Position geschaffen, könnte mit Zusatzwissen eine Identifikation der abwesenden/zu vertretenden Person erfolgen. Dies ist umso eher anzunehmen, wenn diese Person noch eine gewisse Außendarstellung wahrnimmt, z. B. als Pressesprecher*in oder Vertriebsleiter*in, und darüber hinaus sogar noch auf der Website oder in öffentlich zugänglichen Datenbanken erwähnt wird/wurde.
Aber auch intern könnten die Kolleg*innen anhand einer solchen Stellenausschreibung relativ schnell erkennen, welche Person gemeint ist und entsprechend dieses Wissen verbreiten oder gar intern ausnutzen (z. B. zur Diskriminierung).
Ebenso wäre der Zusatz „in Elternzeit“ neben den geschäftlichen/dienstlichen Kontaktdaten einer Person auf der Unternehmens- oder Behördenwebsite für sich genommen schon kaum datenschutzkonform auszugestalten. Als Rechtfertigung bliebe nur die ausdrückliche, freiwillige Einwilligung der betroffenen Person, woran weiterhin gewisse Zweifel bestehen könnten. Wird diese Information noch durch eine Stellenanzeige verbreitet, die sich explizit an eine unbekannte Anzahl externer Personen richtet und ggf. noch auf externen Portalen veröffentlicht wird, nehmen die datenschutzrechtlichen Risiken zu.
Und auch andere Ideen der Gewinnung von neuen Mitarbeiter*innen haben in der Vergangenheit schon zu dem einen oder anderen Datenschutzverstoß geführt, wie bspw. eine Veröffentlichung von Gehaltszetteln auf Facebook, um zu zeigen, wieviel Geld man in dem Unternehmen verdienen könne.
Fazit
Öffentliche Stellen und Unternehmen sollten darauf achten, dass bei Stellenausschreibungen keine indirekten oder direkten Angaben zur Gesundheit von Beschäftigten enthalten sind. Dies stellt i. d. R. einen Verstoß gegen die DSGVO dar, der sogar zu einem Schadensersatz der betroffenen Person führen könnte. Die Fälle vor Gericht häufen sich, in denen Beschäftigte wegen der Veröffentlichungen von sensiblen Informationen auch ein Schmerzensgeld zugesprochen bekommen (siehe auch hier).
Generell gilt, dass alle Inhalte zum Personal auf der eigenen Website wie auch insbesondere bei Stellenbeschreibungen, die oftmals auch auf fremden Websites veröffentlicht werden, möglichst datensparsam ausgestaltet sein sollten.