Unverbindliche Anfrage

Daten sind wie neuentdeckte Bodenschätze. Genauso schütze ich auch meine geschäftlichen Informationen.

Meine Kunden vertrauen mir. Auch weil ich vertrauensvoll mit ihren Daten umgehe.

Datenschutz muss nicht alle Daten schützen, aber die meiner Patienten.

Meine Waren sollen sicher zum Kunden kommen. Genauso wie meine Daten.

Mehr Service für meine Kunden bedeutet mehr Informationen und mehr Verantwortung für den Datenschutz.

Datenschutzverstoß beim Bewerbungsprozess

Bewerbung

Datenschutzverstoß beim Bewerbungsprozess

- Immaterieller Schadensersatz nach falscher E-Mail -

actus-IT / 26.1.2021 – Der Datenschutzverstoß war simpel, die Auswirkung aber extrem. Eine Benachrichtigung wurde von einer Unternehmung an einen potenziellen Bewerber über ein Bewerbungsportal fehlgeleitet. Statt an den Stellenbewerber wurde die Nachricht an einem dem Bewerber bekannten Dritten weitergeleitet. Die Benachrichtigung enthielt sensible persönliche und berufliche Informationen. Nach dem Ausscheiden aus dem Bewerbungsprozess klagt der ehemalige Bewerber gegen die Unternehmung auf Unterlassungs- und Schadensersatzansprüche.

Schadensersatzregelungen sind im Datenschutzrecht eigentlich nichts Neues. Schon das „alte“ Bundesdatenschutzgesetz kannte die Regelungen der Schadensersatzansprüche vor. Die aktuelle Datenschutzgrundverordnung sieht allerdings bestimmte Voraussetzungen für den Anspruch vor.

Grundsätzlich hat jede Person, der wegen eines Verstoßes gegen die Datenschutzgrundverordnung ein materieller oder immaterieller Schaden zu entstanden ist, einen Anspruch auf Schadensersatz gegen den verantwortlichen Datenverarbeiter oder gegen den Auftragsverarbeiter. Die DSGVO setzt also entsprechen Art. 82 einen Verstoß voraus. Wichtig hierbei ist: Es können alle Rechtsverletzungen (Verletzungen der Betroffenenrechte, Verletzungen gegen die Lösch- oder Dokumentationspflichten etc.) der Datenschutzgrundverordnung sein.

Neben dem Verstoß gegen die DSGVO muss auch noch ein Verschulden vorhanden sein. Dies bedeutet, dass für den Verstoß auch ein vorsätzlicher oder fahrlässiger Verhaltensfehler des Verantwortlichen vorhanden sein muss. Beweispflichtig ist hier nicht der Kläger, sondern der Verantwortliche oder Auftragsverarbeiter.

Der Nachweis eines eingetretenen Schadens rundet die Beweisaufnahme für einen möglichen Schadensersatz ab. Es muss also ein materieller oder immaterieller Schaden entstanden sein. Wobei der alleinige Verstoß gegen die DSGVO wie auch Bagatellverstöße, welche als reine Unannehmlichkeiten zu werten sind, hierbei nicht berücksichtigt werden.

In dem vorliegenden Fall bewertete das LG Darmstadt die Mitteilung von personenbezogenen Daten (Name, Geschlecht, Informationen über das Bewerbungsverfahren) an einen unbeteiligten Dritten als einen Verstoß gegen Art. 6 Abs. 1 lit. a DSGVO (Rechtmäßigkeit der Datenverarbeitung) und gleichzeitig gegen Art. 34 DSGVO (Benachrichtigung der von einer Verletzung des Datenschutzes betroffenen Person).

Das Gericht wertete die fahrlässige Versendung der Nachricht an einen Unbeteiligten auch als Grund für einen eingetretenen immateriellen Schaden für den Kläger. Dieser hatte die Kontrolle verloren, wer nunmehr Kenntnis davon hatte, dass sich der Beklagte bei der beklagten Unternehmung beworben hatte. Gleichfalls wäre der Vorgang dafür geeignet, den Ruf des Klägers oder dessen Ansehen bzw. sein berufliches Fortkommen zu schädigen.

Das Gericht sprach dem Kläger ein Schmerzensgeld in Höhe von 1.000,00 € sowie die Kosten für die Inanspruchnahme eines Rechtsanwalts zur Durchsetzung etwaiger Rechte zu.

Ein Fazit der Datenschutzagentur actus-IT: Um Schadensersatzforderungen möglichst schon pro-aktiv zu vermeiden, hilft einzig die restriktive Einhaltung der Vorgaben der DSGVO. Die beginnt u. a. bei der Prüfung der Rechtsgrundlagen zur Verarbeitung lt. Art. 6 und endet beim Umgang mit den Betroffenenrechten.

Weitere Informationen u. a. zum Urteil finden Sie unter:

Landgericht Darmstadt, Urteil vom 26. Mai 2020, Az.: 13 O 244/19

www.actus-IT.de