DSGVO-Schadensersatz bei fehlgeleiteter Mail mit Bewerberdaten
Unternehmen sind nach der DSGVO an strenge Datensicherheitsvorgaben gebunden, sodass personenbezogene Daten im Internet nicht an unbefugte Dritte gelangen können. Geschieht dies dennoch, können Betroffene nach der DSGVO Schadensersatz verlangen. Das Landgericht Darmstadt hat nun mit Urteil vom 26.05.2020 entschieden, dass dem Betroffenen hierbei kein konkreter Schaden entstanden sein muss und die bloße Gefahr eines Schadens genügt. Dies war bei der fehlerhaften Weiterleitung von Bewerbungsdaten an einen unbefugten Dritten anzunehmen.
Hintergrund
Bei der Beklagten handelt es sich um eine Bank, die eine Nachricht im Verlauf eines Bewerbungsverfahrens versehentlich an einen Dritten auf der Plattform XING weitergeleitet hat. Die streitgegenständliche Nachricht war für den daraufhin klagenden Bewerber bestimmt und beinhaltete unter Anderem Vorstellungen über ein möglicherweise zukünftiges Gehalt des Bewerbers. Als dieser erst etwa zwei Monate später von der Datenpanne erfahren hat, setzte er die Bewerbung zunächst ohne Beschwerde fort. Als der Bewerber allerdings von der Bank abgelehnt worden war, hat dieser in Ansehung der unrechtmäßigen Datenübermittlung Klage erhoben. Diese stützte er auf Art. 82 DSGVO, wobei er Schadensersatz in Höhe von 2500 Euro geltend gemacht hat.
DSGVO-Schadensersatz erfordert eine gewisse Erheblichkeit der Verletzung
Das Gericht führte zunächst aus, dass grundsätzlich nicht jeder Datenschutzverstoß unmittelbar einen Schadensersatzanspruch begründet. Vielmehr muss der Betroffene einer Datenschutzverletzung zumindest darlegen, worin die konkrete Beeinträchtigung liegt. Es muss eine gewisse Bagatellgrenze überschritten sein, um in den Bereich eines möglichen Schadensersatzes zu kommen. Die Verletzung des Schutzes personenbezogener Daten stelle ein hohes Risiko für die persönlichen Rechte und Freiheiten des Klägers dar, so die Richter. Ein hohes Risiko bestehe dann, wenn zu erwarten ist, dass bei ungehindertem Geschehensablauf mit hoher Wahrscheinlichkeit ein Schaden für die Rechte und Freiheiten des Betroffenen eintritt. In einem solchen Fall sei nicht maßgeblich, ob die Datenschutzverletzung auch zu einem besonders hohen Schadensumfang geführt hat.
Immaterieller Schaden bereits durch Kenntnis des Dritten
Vorliegend bestehe durch die Versendung der Nachricht an einen unbeteiligten Dritten nicht nur eine hohe Wahrscheinlichkeit eines Schadenseintritts, vielmehr sei dadurch ein Schaden bereits eingetreten. Hierbei war dem Kläger auch ein immaterieller Schaden entstanden, indem infolge der Weitersendung der Daten persönliche und berufliche Informationen an einen unbeteiligten Dritten weitergeleitet worden waren. Dieser hatte nun Kenntnis über den Bewerbungsvorgang und finanzielle Hintergründe bzw. Vertragswandlungen. Dadurch habe der Kläger aber auch generell die Kontrolle darüber verloren, wer Kenntnis davon erlange, dass er sich bei der Beklagten beworben hatte.
Hohes Risiko einer Benachteiligung des Klägers
Nach der Auffassung des LG seien diese Informationen auch dazu geeignet, den Kläger zu benachteiligen. Dies wäre etwa der Fall, wenn die Informationen an etwaige Konkurrenten für einen Arbeitsplatz gelangten oder gar den Ruf des Klägers zu schädigen vermochten. Eine solche Schädigung sei etwa denkbar, wenn der derzeitige Arbeitgeber des Klägers von dem Ausschau halten nach einer neuen Stelle erfahren hätte.
LG: Hohes Schadensrisiko für DSGVO Schadensersatz ausreichend
Auch wenn ein Kläger keine konkreten Nachteile vorträgt, spricht dies nicht gegen einen Anspruch auf Schmerzensgeld, so die Auffassung des LG Darmstadt. Die Weiterleitung personenbezogener und insbesondere privater Informationen, die nur den Kläger und die von ihm insoweit einbezogenen Personen wie die Beklagte betreffen, habe durch die Kenntnis des unbeteiligten Dritten zumindest eine außenwirkende Rechtsverletzung zur Folge und damit eine etwaige Bagatellgrenze überschritten. Da die Informationen keiner weiteren Person zugänglich gemacht wurden und der Kläger keine weiteren beruflichen oder persönlichen Beeinträchtigungen erlitten hat, war ein Schmerzensgeld in Höhe von 1.000 Euro im vorliegenden Fall für angemessen erachtet worden.
Unverzügliche Benachrichtigungspflicht nach Fehlleitung
Indem die Beklagte erst zwei Monate nach der Fehlleitung hiervon berichtete, hat diese auch gegen ihre unverzügliche Benachrichtigungspflicht aus Art. 34 Abs. 1 DSGVO verstoßen. Nach dieser hat sie den Kläger unverzüglich, also ohne schuldhaftes Zögern über die Verletzung zu informieren. Nach dem Vortrag des Klägers habe der falsche Empfänger die Beklagte am 23.10.2018 darüber in Kenntnis gesetzt, dass er nicht der richtige Adressat der Nachricht sei, sodass die Beklagte ab diesem Zeitpunkt bereits Kenntnis von dem Verstoß hatte. Dies war dem Kläger allerdings erstmals trotz vorheriger Gespräche mit der E-Mail vom 16.12.2018 zugetragen worden.
Fazit
Sofern es zu Datenpannen kommt und diese zu einem Risiko für die Rechte und Freiheiten natürlicher Personen werden, ist eine unverzügliche Benachrichtigung der Betroffenen zu empfehlen. Gerade so sinkt auch die Wahrscheinlichkeit, dass neben den fehlerhaften Empfängern auch weitere unerwünschte Adressaten Kenntnis von empfindlichen Informationen erlangen, wodurch auch ein Schaden geringer gehalten werden kann.
Besonders an der Entscheidung ist, dass es das LG Darmstadt ausreichen lässt, dass die rechtswidrige Entäußerung sensibler Bewerbungsdaten an einen Dritten abstrakt geeignet ist, dem Betroffenen persönlich oder beruflich Nachteile zuzufügen. Demnach wird ein lediglich hohes Schadensrisiko einem konkreten Schaden gleichgestellt. Dies ist jedenfalls schadensrechtlich fragwürdig, da hier grundsätzlich ein konkreter Schadenseintritt erforderlich ist. Auf diese Spruchpraxis ist bereits reagiert worden. Die Berufungsinstanz hat jedenfalls mit Urteil vom 02.03.2022 den Nachweis eines konkreten (auch immateriellen) Schadens entgegen der hier aufgeführten Auffassung als erforderlich erachtet und sich damit nicht der Entscheidung angeschlossen (vgl. OLG Frankfurt, Urt. v. 02.03.2022 – 13 U 206/20).
Landgericht Darmstadt, Urteil vom 26.05.2020, Az. 13 O 244/19