Schmerzensgeld für abgelehnten Bewerber

Die DSGVO sieht vor, dass bei Datenschutzpannen oder Datenschutzvorfällen der betroffenen Person ein Schmerzensgeld zustehen kann. Nun wurde ein Urteil veröffentlicht, in dem es um diesen Schmerzensgeldanspruch ging. Dies ist der erste veröffentlichte Fall eines deutschen Gerichts, in dem dieser Schmerzensgeldanspruch bejaht wurde. Das LG Darmstadt sprach einem Bewerber Schmerzensgeld in Höhe von 1.000 € zu, weil dessen Daten öffentlich geworden sind.

Was war passiert?

Eine Arbeitgeberin führt über ein Onlineportal ein Bewerbungsverfahren durch. Versehentlich wurde hierbei eine Nachricht, die an einen Bewerber gerichtet war, an einen Dritten versandt. In dieser Nachricht wurden Geschlecht und Nachname des Bewerbers genannt („Sehr geehrter Herr XY“). Außerdem wurden die Bezeichnung der Stelle, auf die er sich beworben hatte, und Informationen zu den Gehaltsverhandlungen preisgegeben. Der Bewerber erfuhr von der Datenpanne zufällig, nämlich von dem Dritten. Die Arbeitgeberin hatte es nämlich trotz ihrer Kenntnis über einen Zeitraum von mehreren Wochen unterlassen, den Bewerber über die Datenpanne zu benachrichtigen. Als er aus dem Bewerbungsverfahren ausgeschieden war, machte er unter anderem Ansprüche auf Schmerzensgeld wegen der Datenpanne geltend.

Das LG Darmstadt war der Ansicht, dass die Arbeitgeberin den Bewerber hätte unverzüglich über den Datenschutzvorfall benachrichtigen müssen. Es habe nämlich nicht nur ein hohes Risiko für seine persönlichen Rechte bestanden, der Schaden sei bereits eingetreten. Der Bewerber hatte einen Kontrollverlust bezüglich seiner Bewerberdaten erlitten. Er hatte außerdem die Kontrolle darüber verloren, wer Kenntnis von seiner Bewerbung und seinen Gehaltsvorstellungen hat. Sowohl eine mögliche Rufschädigung in der Branche oder beim aktuellen Arbeitgeber, als auch mögliche Nachteile auf dem Arbeitsmarkt oder gegenüber Konkurrenten waren zu befürchten. Es waren hier also zwei Verstöße zu rügen, zunächst die Datenpanne an sich und danach die mangelnde Information.

Das Gericht hat beides bei der Bemessung des Schadens berücksichtigt. Weiter hat es ausgeführt, dass es nicht darauf ankommt, ob eine Rufschädigung eingetreten ist oder sein aktueller Arbeitgeber tatsächlich von der Teilnahme am Bewerbungsverfahren erfahren hatte.

Welche Konsequenzen sind zu ziehen?

• Vorsicht bei der elektronischen Kommunikation!

Fehlgeleitete E-Mails sind an der Tagesordnung. Um dies zu verhindern, genügt es oftmals schon, die Autovervollständigung von E-Mail-Adressen auszuschalten. Diese Autovervollständigung ist zwar hilfreich, aber eine häufige Fehlerquelle.

• Vorsicht bei der Risikobewertung von Datenpannen!

Datenschutzvorfälle oder Datenpannen müssen der Behörde gemeldet werden, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Diese Meldung muss binnen 72 Stunden nach Kenntnis erfolgen (Art. 33 DSGVO). Die betroffene Person muss unverzüglich benachrichtigt werden, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat (Art. 34 DSGVO). Für beide Meldungen muss also eine Risikobewertung gemacht werden, die unterschiedlich ausfallen kann. Das LG Darmstadt bejaht hier nicht das Risiko, sondern war der Ansicht, dass sich das Risiko bereits verwirklicht hatte. Näheres zu diesem Thema finden Sie in unserem Beitrag: Datenschutzvorfälle vom 8.7.2020.

LG Darmstadt hat (Urteil vom 26.5.2020 – Az. 13 O 244/19)

Autor: GROSS Rechtsanwaltsgesellschaft mbH

Bildnachweis: Pixabay