1.000 € für Fehlversand einer Nachricht über Xing

Anwaltverein stellt Unterlagen zur DS-GVO bereit

LG Darmstadt, Urt. v. 26.05.2020 – 13 O 244/19

Das LG Darmstadt hat in dem Urteil vom 26.05.2020 (Az. 13 O 244/19) entschieden, dass ein potenziell zukünftiger Arbeitgeber schadensersatzpflichtig sein kann, wenn dieser während des Bewerbungsverfahrens unzulässiger Weise die Daten der Bewerber weitergibt.

Sachverhalt

Der Kläger bewarb sich über das Portal Xing bei einer Bank. Die beklagte Bank sendete eine für den Kläger bestimmte Nachricht irrtümlich an einen Dritten bei Xing.  Diese Nachricht enthielt unter anderem den Namen, das Geschlecht sowie die Gehaltsvorstellungen des Klägers.

Als der Bewerber von der beklagten Bank abgelehnt wurde, forderte er einen Schadensersatz von 2.500 Euro auf Grundlage des Art. 82 DS-GVO wegen der unrechtmäßigen Datenübermittlung.

Entscheidung: 1.000 € Schadensersatz

Das Gericht gab dem Kläger jedoch nur in Teilen Recht und gestand ihm einen Schadenersatz von 1.000 € zu.  

Entscheidungsgrund 1: Unzulässige Datenweitergabe

Das Gericht begründete die Entscheidung folgendermaßen:

„Infolge der Weitersendung der Daten wurden persönliche, berufliche Informationen an einen unbeteiligten Dritten weitergeleitet. Dadurch hat der Kläger die Kontrolle darüber verloren, wer Kenntnis davon hat, dass er sich bei der Beklagten beworben hat. Diese Informationen sind auch dazu geeignet, den Kläger zu benachteiligen, wenn diese Informationen an etwaige Konkurrenten für einen Arbeitsplatz gelangen oder gar den Ruf des Klägers zu schädigen, wenn z.B. der derzeitige Arbeitgeber des Klägers erfahren hätte, dass sich der Kläger nach anderweitigen Arbeitsstellen umschaut.“

Entscheidungsgrund 2: Mangelnde Transparenz

Weiter beanstandete das Gericht auch die nicht erfolgte Benachrichtigungspflicht des Beklagten:

„Die Beklagte hat auch gegen ihre unverzügliche Benachrichtigungspflicht verstoßen, da die Nachricht unverzüglich, also ohne schuldhaftes Zögern […] erfolgen soll […], was aber vorliegend nicht gegeben ist, da die Beklagte den Kläger erst im Dezember 2018 darüber informierte, dass die Nachricht an Herrn […] gesendet wurde.“

Die ursprüngliche Forderung des Klägers in Höhe von 2.500,00 € hatte keinen Erfolg vor Gericht. Die Höhe des zugesprochenen Schadenersatzes begründete das Landgericht wie folgt:

„Dem Kläger ist auch ein Immaterieller Schaden entstanden. Infolge der Weitersendung der Daten wurden persönliche, berufliche Informationen an einen unbeteiligten Dritten weitergeleitet. Dadurch hat der Kläger die Kontrolle darüber verloren, wer Kenntnis davon hat, dass er sich bei der Beklagten beworben hat. Darüber hinaus hat eine dritte Person nun Kenntnis über den Bewerbungsvorgang und finanzielle Hintergründe bzw. Vertragswandlungen.
Diese Informationen sind darüber hinaus auch abstrakt dazu geeignet, den Ruf des Klägers oder dessen Ansehen bzw. sein weiteres berufliches Fortkommen zu schädigen, wenn z.B. der derzeitige Arbeitgeber des Klägers erfahren hätte, dass sich der Kläger nach anderweitigen Arbeitsstellen umschaut, so dass jedenfalls auch eine solche Gefahr aus Sicht des Klägers Im Raum stand […]
Da die Informationen keiner weiteren Person neben Herrn […] zugänglich gemacht wurden und insbesondere der Kläger keine weiteren beruflichen oder persönlichen Beeinträchtigungen erlitten hat, wird ein Schmerzensgeld in Höhe von 1.000,00 € für angemessen erachtet.“

Hervorzuheben ist, dass das Landgericht Darmstadt keinen Beweis für einen konkreten Schadeneintritts verlangt. In diesem Kontext reicht die unrechtmäßige Übermittlung von personenbezogenen Daten, die es möglich machen könnten, dass der Kläger einen persönlichen oder beruflichen Schaden dadurch erleiden könnte. Das aus dem Verstoß resultierende Risiko ist also hier das maßgebliche Kriterium für den zugesprochenen Schadensersatz.

Prozesskostenrisiko nie außer Acht lassen

Auch wenn die beklagte Bank aufgrund der gerichtlichen Entscheidung sowohl die Gerichts- und Anwaltskosten des Klägers für beide Instanzen zahlen muss, stehen schlussendlich 1.000 € anerkanntem Schadensersatz 1.025,55 € an Anwaltskosten allein für die Prozessvertretung in der 1. Instanz entgegen. Das zeigt noch einmal, wie hoch das Risiko für Kläger im Falle einer ablehnenden Entscheidung ist.

Letztes Update:04.03.22

  • Archivieren oder Löschen

    Löschen oder Archivieren: BayLfD bietet Arbeitspapier

    Ein effektives Datenschutzmanagement erfordert vom Verantwortlichensich nicht nur Gedanken um die Zulässigkeit der Datenerhebung zu mache. Der datenschurzkonforme Umgang muss sich auf den gesamten Lebenszyklus von personenbezogenen Daten erstrecken und damit auch den Vorgang des Löschens. Generell sind personenbezogene Daten zu löschen, wenn ihre Speicherung unzulässig ist oder ihre Kenntnis für die speichernde Stelle „zur Erfüllung ihrer

    Mehr erfahren
  • Auskunft erstreckt sich auf Identität derEmpfänger

    EuGH konkretisiert Auskunftsrecht: Identität der Empfänger sind offenzulegen

    Mit dem Auskunftsrecht gem. Art. 15 DS-GVO hat der Verordnungegeber eine Grundlage dafür geschaffen, dass andere Betroffenenrechte (wie das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, aber auch das Widerspruchsrecht) überhaupt gezielt geltend gemacht werden können. Die praktische Wirksamkeit dieser „nachgelagerten“ Betroffenenrechte hängen oftmals davon ab, wie weit das Recht auf Auskunft verstanden wird. Möchte

    Mehr erfahren
  • Protokollierung von Cyber-Angriffen

    Mindeststandard zur Protokollierung und Detektion von Cyber-Angriffen

    Immer häufiger werden Cyber-Angriffe auf Unternehmen und Regierungen bekannt, die folgenschwere Konsequenzen für die Betroffenen auslösen. Die meisten IT-Systeme in Organisationen verfügen über Möglichkeiten, um ein Audit-Logging zu aktivieren. Bereits mit den Standardeinstellungen werden dabei in der Regel alle wichtigen Ereignisse aufgezeichnet. Damit dabei aber keine gigantischen Datenmengen entstehen, die nur mit hohem Aufwand zu verarbeiten

    Mehr erfahren