· 

Schadenersatz für ein „fehlgeleitetes“ Email in einem Bewerbungsprozess?

Das Landgericht Darmstadt hat mit Urteil vom 26.05.2020 (13 O 244/19) einem Bewerber für eine Arbeitsstelle
EUR 1.000,-- an Schadenersatz wegen Verletzung der DSGVO durch den (potentiellen) Arbeitgeber zugesprochen, der (irrtümlich) ein Email nicht an den Bewerber sondern einen Dritten versandte, und damit offenlegte, dass sich der Kläger bei der Bank beworben hatte. 

Der Sachverhalt

Der Verantwortliche (= potentieller Arbeitgeber) ist eine Privatbank. Der Betroffene befand sich bei der beklagten Partei in einem Bewerbungsprozess über XING.

 

Die Fehlleistung / der DSGVO-Verstoß (!)


Am 23.10.2018 sendete die Privatbank folgende Nachricht, die für den Kläger (Bewerber) bestimmt war, über das Portal XING an eine dritte Person (Herrn W), die nicht an dem Bewerbungsprozess beteiligt war.

 

„Lieber Herr X, ich hoffe es geht Ihnen gut! Unser Leiter - Herr R - findet ihr (…) Profil sehr interessant. Jedoch können wir ihre Gehaltsvorstellungen nicht erfüllen. Er kann 80k + variable Vergütung anbieten. Wäre das unter diesen Gesichtspunkten weiterhin für Sie interessant? Ich freue mich von Ihnen zu hören und wünsche Ihnen einen guten Start in den Dienstag. Viele Grüße, J"

 

Damit wurden personenbezogene Daten des Klägers, nämlich Name, die Tatsache, dass er sich bei der Privatbank beworben hatte, und ein Gehaltsniveau der dritten Person ohne Rechtsgrundlage offengelegt.

 

Herr W (Empfänger der Nachricht) und der Bewerber (Kläger) kannten sich und Herr W leitete die Nachricht an den Kläger weiter mit der Frage: „suchst du?". Darauf antwortete der Kläger: „Hihi W.".

 

Herr W (Empfänger der Nachricht) machte die beklagte Partei (Privatbank) am 23.10.2018 (dem Tag des Empfanges) auf die fehlgeleitete Nachricht aufmerksam, und informiert auch den Kläger darüber.

 

Die beklagte Partei (Privatbank) verschickte die Nachricht auch an den Kläger. Es gab weitere Nachrichten und auch ein Kennenlern-Treffen zwischen den Parteien. In dieser Zeit erwähnte der Kläger nicht, dass die Nachricht irrtümlich an einen Dritten versandt worden ist.

 

Erst nach der Absage für die Bewerbung (am 10.12.2018) rügte der Kläger mit E-Mail vom 16.12.2018 die Versendung der Nachricht an Herrn W. Dabei bat er um Aufklärung sowie Mitteilung, weshalb er nicht informiert worden sei.

 

Daraufhin meldete sich ein externer Datenschutzbeauftragter der beklagten Partei beim Kläger. Dieser bestritt, dass die Beklagte für die falsche Versendung verantwortlich sei und verneinte insoweit einen Datenschutzverstoß.

 

Auf die Frage, weshalb die Beklagte den Kläger nicht unmittelbar über die falsche Versendung informiert habe, antwortete der Datenschutzbeauftragte, dass die Versendung an den falschen Adressaten nicht sofort erkannt worden sei. Die beklagte Partei kontaktierte Herrn W nach dem Vorfall und bat ihn darum, die Nachricht zu löschen und sie nicht weiter zu verbreiten.

 

Der Anspruch des Klägers

Der Kläger (abgelehnte Bewerber, dessen personenbezogene Daten irrtümlich an eine dritte Person offengelegt wurden) forderte außergerichtlich – neben Unterlassung – auch immateriellen Schadenersatz in Höhe von EUR 2.500,-- auf Basis von Art 82 Abs 1 DSGVO.

 

Eingeklagt hat der Kläger den geforderten Betrag von EUR 2.500,-- für den DSGVO-Verstoß.

 

Das Gericht sprach EUR 1.000,-- an (immateriellen) Schadenersatz zu.

 

Die Begründung des Gerichts

Die Rechtswidrigkeit

 

Nach Ansicht des Gerichts besteht bei diesem Sachverhalt dem Grunde nach ein Anspruch nach Art 82 Abs 1 DSGVO, wobei der Verstoß gegen Art 6 DSGVO (Rechtmäßigkeit) auf der Hand liegt, da für die Sendung der Nachricht an den unbeteiligten Dritten keine Rechtsgrundlage vorhanden war.

 

Das Gericht ging auch von einer Verletzung von Art 34 DSGVO (Verpflichtung zur Meldung von Datenschutzverletzungen gegenüber betroffenen Personen) aus.

 

Der Schaden

„Die Verletzung des Schutzes personenbezogener Daten stellen wie im vorliegenden Fall geschehen voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten des Klägers dar.

Ein hohes Risiko besteht dann, wenn zu erwarten ist, dass bei ungehindertem Geschehensablauf mit hoher Wahrscheinlichkeit ein Schaden für die Rechte und Freiheiten des/der Betroffenen eintritt. In einem solchen Fall ist es nicht maßgeblich, ob die Datenschutzverletzung auch zu einen besonders hohen Schadensumfang führt (vgl. BeckOK DatenschutzR/Brink DS-GVO Art. 34 Rn. 25.).

Durch die Versendung der Nachricht an einen unbeteiligten Dritten bestand nicht nur eine hohe Wahrscheinlichkeit eines Schadenseintritts, viel mehr ist dadurch ein Schaden bereits eingetreten.“

 

Kontrollverlust als immaterieller Schaden

 

 […] Infolge der Weitersendung der Daten wurden persönliche, berufliche Informationen an einen unbeteiligten Dritten weitergeleitet. Dadurch hat der Kläger die Kontrolle darüber verloren, wer Kenntnis davon hat, dass er sich bei der Beklagten beworben hat. Darüber hinaus hat eine dritte Person nun Kenntnis über den Bewerbungsvorgang und finanzielle Hintergründe bzw. Vertragsverhandlungen. Diese Informationen sind darüber hinaus auch abstrakt dazu geeignet, den Ruf des Klägers oder dessen Ansehen bzw. sein weiteres berufliches Fortkommen zu schädigen, wenn z.B. der derzeitige Arbeitgeber des Klägers erfahren hätte, dass sich der Kläger nach anderweitigen Arbeitsstellen umschaut, so dass jedenfalls auch eine solche Gefahr aus Sicht des Klägers Im Raum stand.

 

Konkrete Darlegungen eines Schadens fehlten – Zuspruch erfolgt

„Sofern der Kläger konkrete Nachtelle nicht vorträgt, spricht dies nicht gegen einen Anspruch auf Schmerzensgeld, da personenbezogene und Insbesondere private Informationen, die nur den Kläger und die von ihm Insoweit einbezogenen Personen wie die Beklagte betreffen, an einen unbeteiligten Dritten durch ein der Beklagten zurechenbares Fehlverhalten eines Mitarbeiters zur Kenntnis gelangt sind, wobei vorliegend - und anders als bei der von der Beklagter angeführten Entscheidung des OLG Dresden - damit eine Außenwirkung dieser Rechtsverletzung eintrat und damit eine etwaige Bagatellgrenze jedenfalls überschritten ist.

mE ist es kritisch, hier von einem abstrakten Risiko auf einen tatsächlichen erlittenen Schaden zu schließen, ohne dass der Kläger dazu konkret ein Vorbringen erstattet hat. Ich denke, es bleibt abzuwarten, ob sich diese Judikaturlinie, die mE die bisherigen Entscheidungen

 

Die Höhe des Schadens

Das Gericht sprach einen Betrag von EUR 1.000,-- zu, da die personenbezogenen Daten keiner weiteren Person neben Herrn W zugänglich gemacht wurden und insbesondere der Kläger keine weiteren beruflichen oder persönlichen Beeinträchtigungen erlitten hat.

 

 

Fazit

 

  •   Prüfen Sie ihre Email-Empfänger oder Empfänger sonstiger Nachrichten 
    -> Wie Sie sehen, kann eine irrtümlich an einen anderen Empfänger versendete Nachricht zu Nachteilen beim eigentlichen Empfänger führen, die vom Gericht als ersatzfähiger Schaden angesehen werden.


  • Reagieren Sie bei einem Datenschutzverstoß rasch und richtig, und versuchen Sie nicht, den Verstoß zu „verheimlichen“, denn Sie wissen nicht, wer Kenntnis vom Verstoß hat. 
    -> Hätte die Bank den Bewerber davon informiert, dass eine Nachricht irrtümlich an den falschen Adressaten versendet wurde, und hätte sie auch den falschen Adressaten unverzüglich kontaktiert und diesen gebeten, die Nachricht zu löschen und zu erklären, dass er sie nicht weiterverwenden werde, dann wären die Auswirkungen auf Seiten des Betroffenen minimiert worden.

  • Es bleibt abzuwarten, ob diese Entscheidung rechtskräftig geworden ist. Das habe ich bisher nicht recherchieren können.

 

 

11.10.2020, Autor

Michael Schweiger, zert DSBA

 


Download
LG Darmstadt EUR 1000 fehlgeleites Email
Adobe Acrobat Dokument 244.8 KB

Kommentar schreiben

Kommentare: 0