Gesundheitsdaten am Arbeitsplatz werden bei VW zum Haftungsrisiko

von

CHIP berichtet, dass bei Volkswagen Krankheitsdaten von Beschäftigten in einem Umfang ausgetauscht worden sein sollen, der nun erste Klagen nach sich zieht. Schon die Grundannahme hinter dieser Meldung ist brisant. Gesundheitsdaten gehören nach der DSGVO zu den besonders sensiblen personenbezogenen Daten. Wer in Unternehmen mit solchen Informationen arbeitet, bewegt sich also nicht einfach in einer verschärften Personalverwaltung, sondern in einem Bereich, in dem schon kleine Grenzverschiebungen schnell juristisch und organisatorisch teuer werden.

Der Fall ist auch deshalb relevant, weil er eine typische Fehlannahme in vielen Organisationen sichtbar macht. Solange Daten innerhalb eines Unternehmens bleiben, wirkt ihr Austausch oft wie ein internes Betriebsdetail. Genau das stimmt bei Gesundheitsdaten eben nicht. Laut der CHIP-Berichterstattung geht es um Informationen, die Beschäftigte besonders verletzlich machen, weil sie Rückschlüsse auf Erkrankungen, Arbeitsfähigkeit und persönliche Lebenslagen erlauben. Je weiter solche Angaben im Unternehmen zirkulieren, desto größer wird das Risiko, dass aus einer vermeintlich pragmatischen Weitergabe eine unzulässige Zweckverschiebung wird.

Gesundheitsdaten sind im Betrieb kein normaler Informationsstrom

Für Unternehmen ist der Kern des Falls schnell formuliert. Gesundheitsdaten dürfen nicht so behandelt werden wie allgemeine Verwaltungsdaten oder operative Teaminformationen. Wer krank ist, wie lange jemand ausfällt, welche Einschränkungen bestehen und welche medizinischen Hintergründe im Raum stehen, ist nicht bloß ein sensibles Kommunikationsthema, sondern datenschutzrechtlich eine Hochrisikozone. Sobald mehrere Stellen Zugriff erhalten, ohne dass Rechtsgrundlage, Zweck und Berechtigung glasklar dokumentiert sind, entsteht ein doppeltes Problem: Zum einen drohen Ansprüche von Betroffenen, zum anderen wird jede interne Aufarbeitung unangenehm, weil die Zugriffskette oft breiter ist als ursprünglich gedacht.

Gerade große Organisationen sind dafür anfällig. Zwischen HR, Führungskräften, Betriebsärzten, Standortverantwortlichen und arbeitsorganisatorischen Einheiten gibt es viele Schnittstellen, an denen Krankheitsthemen schnell „zur Koordination“ weitergegeben werden. Der VW-Fall erinnert daran, dass diese betriebliche Logik nicht automatisch datenschutzfest ist. Nicht jede Person, die organisatorisch Interesse an einer Information hat, darf sie auch tatsächlich kennen. Und nicht jede E-Mail, jedes Meeting-Protokoll oder jede interne Abstimmung hält später einer sauberen Prüfung stand.

Hinzu kommt ein zweiter Effekt, der oft unterschätzt wird. Gesundheitsdaten sind selten isoliert problematisch. Sie werden heikel, weil sie mit Rollen, Bewertungen, Karriereperspektiven oder Konflikten zusammenfallen können. Wenn Beschäftigte den Eindruck gewinnen, dass über Krankheitslagen in zu großem Kreis gesprochen oder disponiert wird, ist der Schaden nicht nur rechtlich. Dann kippt auch Vertrauen in HR, Führung und Compliance. Aus Datenschutzsicht ist das wichtig, weil Organisationen sich oft zu sehr auf Rechtsgrundlagen konzentrieren und zu wenig auf die tatsächliche Wahrnehmung der Betroffenen.

Warum der VW-Fall für viele Arbeitgeber ein Warnsignal ist

Selbst wenn der konkrete Vorgang erst noch vollständig aufgearbeitet werden muss, ist die operative Lehre schon jetzt klar. Unternehmen brauchen bei Gesundheitsdaten eine viel engere Trennung zwischen medizinischer Information, arbeitsorganisatorischer Information und disziplinarisch oder leistungsbezogen interessierten Stellen. Wer diese Ebenen vermischt, produziert fast zwangsläufig einen Graubereich. Genau dort entstehen dann Klagen, Betriebsratskonflikte, interne Eskalationen oder später auch Prüfungen durch Aufsichtsbehörden.

Praktisch bedeutet das: Zugriffe minimieren, Rollen sauber definieren, Weitergaben dokumentieren und Führungskräften sehr klar erklären, welche Details sie eben nicht benötigen. Für den Arbeitsalltag reicht oft die Information, dass jemand ausfällt oder eingeschränkt einsatzfähig ist. Diagnosen, Krankheitsverläufe oder Verdachtslagen gehören nicht in breite Verteiler und erst recht nicht in improvisierte Abstimmungen. Wer in dieser Zone mit Gewohnheitsrecht arbeitet, hat schon verloren, bevor ein Verfahren überhaupt beginnt.

Der heutige Fall ist deshalb mehr als eine unangenehme Einzelmeldung über Volkswagen. Er ist ein Beispiel dafür, wie schnell sensible Personaldaten vom Ausnahmefall in die betriebliche Routine rutschen können. Genau diese Rutschbahn ist gefährlich. Wenn Unternehmen aus dem Fall etwas lernen wollen, dann dies: Gesundheitsdaten brauchen weniger Neugier, weniger Umlauf und deutlich mehr formale Disziplin. Sonst wird aus interner Kommunikation sehr schnell ein Haftungsfall.

Bildquelle: Pexels

Quellen: CHIP, „Hunderte VW-Mitarbeiter betroffen: Austausch über Krankheitsdaten sorgt für erste Klagen“.

Eintrag teilen
E-Mail Xing LinkedIn

Abmahnschutz automatisiert

Ist Ihre Website
DSGVO-sicher?

Jetzt registrieren

Weitere News rund um DSGVO und Datenschutz

DSGVOScan News-Rückblick 20.04.2026

vom 20. April 2026

Der DSGVOScan News-Rückblick vom 20.04.2026 bündelt heute sechs Fälle, die auf sehr unterschiedliche Weise zeigen, wie schnell Datenschutzfragen in operative Haftung, politische Eingriffe und Vertrauensprobleme … Weiterlesen

mehr lesen
Alle Blog-Einträge ansehen