1.000 € Schadensersatz für Versendung einer Nachricht an unbefugten Empfänger
Dass Unternehmen bei Datenschutzverstößen nicht nur Bußgelder der Behörden drohen können, sondern auch Schadensersatzansprüche der betroffenen Personen bestehen, zeigt ein Urteil des Landesgerichts Darmstadt vom 26.5.2020.
Worum ging es?
Geklagt hatte ein ehemaliger Bewerber gegen eine Bank. Im laufenden Bewerbungsprozess sendete die Bank dem Kläger am 23.10.2018 eine Nachricht über das Portal XING. Darin bekundete die Bank ihr Interesse an dem Profil des Bewerbers, teilte ihm jedoch auch mit, dass die geäußerte Gehaltsvorstellung nicht erfüllt werden könne. Als Gegenangebot wurden 80.000 € zzgl. einer variablen Vergütung angeboten. Die Nachricht wurde nicht nur an den Kläger als Bewerber, sondern auch an einen unbeteiligten Dritten übermittelt. Der Dritte und der Kläger kannten sich zufällig, da sie vor einiger Zeit innerhalb derselben Holding arbeiteten. Der Dritte informierte daraufhin die Bank über die falsch übermittelte Nachricht und meldete sich auch bei dem Kläger. Dieser rügte den Verstoß gegenüber der Bank zunächst nicht und führte das Bewerbungsverfahren fort. Auch die Bank informierte den Kläger nicht über die falsch versendete Nachricht. Rund zwei Monate später, nachdem die Bank dem Kläger mitteilte, dass er im Bewerbungsverfahren nicht mehr berücksichtigt werde, fragte der Kläger bei der Bank nach, wie es zu dem Fehlversand kommen konnte und warum er nicht darüber informiert worden sei. Für die beklagte Bank antwortete der externe Datenschutzbeauftrage, dass die Versendung an den falschen Adressaten nicht sofort erkannt worden sei.
Der Kläger suchte sich daraufhin rechtlichen Rat und forderte mit Rechtsanwaltsschreiben vom 25.2.2019 die Abgabe einer strafbewehrten Unterlassungserklärung, die Zahlung eines Schadensersatzes in Höhe von 2.500,00 € sowie die Erstattung der Rechtsanwaltskosten in Höhe von 1.100,51 €.
Urteil des Landesgerichts Darmstadt
Das Landesgericht Darmstadt sprach dem Kläger nicht nur den Unterlassungsanspruch und den Ersatz der Rechtsanwaltskosten zu, sondern auch einen Schadensersatz für den erlittenen immateriellen Schaden.
Das Gericht erkannte hier die Schwere des Verstoßes an, die darauf zurückzuführen ist, dass ein Dritter die personenbezogenen Daten des Klägers erhielt. Auch wenn sich der Kläger und der Dritte schon kannten, wurden dem Dritten sensible Daten übermittelt, deren Offenlegung zu einem Schaden beim Kläger führten. Der Dritte erfuhr beispielsweise, dass der Kläger sich für eine neue Stelle beworben hatte und seine Gehaltsvorstellungen über dem Gegenangebot lagen. Da der Kläger und der Dritte bereits in der Vergangenheit zusammengearbeitet hatten, könnte der Dritte diese Informationen für ein eigenes Bewerbungsverfahren nutzen. Außerdem entstand für den Kläger die Gefahr, dass sein aktueller Arbeitgeber vom Bewerbungsprozess bei einem anderen Unternehmen erfahren könnte.
Erschwerend kam für das Gericht außerdem hinzu, dass die Bank den Kläger nicht sofort informierte, nachdem sie von dem Dritten erfuhr, dass er Daten des Klägers erhalten hatte. Dennoch sah das Gericht hier in der Höhe nur einen Anspruch von 1.000,00 € als begründet an.
Datenschutzvorfälle rechtzeitig melden und Mitarbeiter schulen
Dieser Fall zeigt erneut, wie wichtig es ist, die Mitarbeiter im Umgang mit personenbezogenen Daten zu sensibilisieren und so zu schulen, dass Datenschutzvorfälle erkannt und rechtzeitig gemeldet werden. Er zeigt aber auch, wie schwierig es aktuell noch ist, die möglichen Schadensersatzansprüche zu beziffern. Erst durch weitere Urteile in Zukunft wird sich die mögliche Höhe genauer abschätzen lassen. Gerne unterstützen wir Sie bei der Schulung Ihrer Mitarbeiter oder im Umgang mit möglichen Datenschutzvorfällen.