Werden Bewerbungsdaten an einen unbefugten Dritten weitergeleitet, muss dem Betroffenen daraus kein konkreter Schaden entstanden sein. Es reicht die abstrakte Gefahr eines Schadens, damit der Betroffene Schadensersatz nach der Datenschutzgrundverordnung (DSGVO) verlangen kann. Das entschied das LG Darmstadt mit Urteil vom 26.05.2020 hinsichtlich der Weiterleitung von Bewerbungsdaten an einen unbefugten Dritten.
Der Fall
Ein Mitarbeiter einer Privatbank leitete eine Nachricht im Verlauf eines Bewerbungsverfahrens versehentlich an einen Dritten auf der Plattform XING weiter. Die Nachricht, die für den nunmehr klagenden Bewerber bestimmt war, beinhaltete unter anderem Gehaltsvorstellungen des Bewerbers. Von der Datenpanne erfuhr der Betroffene erst zwei Monate später. Er setzte die Bewerbung vorerst ohne Beschwerde fort. Nachdem der Bewerber von der Bank abgelehnt worden war, klagte er auf Unterlassung sowie Schadensersatz in Höhe von 2.500,00 Euro gemäß Art. 82 DSGVO. Der Betroffene machte dabei geltend, dass es sich bei den weitergeleiteten Daten um personenbezogene Daten handele und zu befürchten sei, dass der unbefugte Dritte, der den Betroffenen auch kannte, die beruflichen Daten und Informationen in der sensiblen Finanzbranche weitergeben könne. Dadurch sei ihm infolge der Versendung der Nachricht ein Schaden entstanden. Der Betroffene stützte seine Klage ferner darauf, dass im Hinblick auf den Unterlassungsanspruch eine Wiederholungsgefahr bestehe. Insbesondere reiche die Sensibilisierung der Mitarbeiter der Bank im Hinblick auf Datenschutzrechte nicht aus, um eine Wiederholungsgefahr zu beseitigen. Nach Ansicht der beklagten Bank bestehe kein Anspruch auf Unterlassung, da die DSGVO keinen Unterlassungsanspruch beinhalten würde und gegenüber dem deutschen Recht im Übrigen eine Sperrwirkung entfalte. Schließlich wendete die Bank ein, dass sich der Betroffene rechtsmissbräuchlich verhalten habe, da er die Ansprüche aufgrund der fehlgeleiteten Nachricht erst geltend gemacht habe, nachdem er aus dem Bewerbungsprozess ausgeschieden sei.
Die Entscheidung
Das Landgericht Darmstadt hielt die Klage dem Grunde nach für begründet und verurteilte die Bank zu einem Schadensersatz in Höhe von 1.000,00 Euro. Das Gericht führt aus, dass für die Begründung eines immateriellen Schadensersatzes nach Art. 82 DSGVO grundsätzlich ein hohes Risiko für Rechte und Freiheiten des Betroffenen ausreiche, das aus der Datenschutzverletzung resultiere. Die Geltendmachung eines Anspruchs auf Unterlassung aus § 823 Abs. 1 i. V. m. § 1004 BGB sei auch neben den Rechten der DSGVO möglich, da nur so ein lückenloser Schutz hinsichtlich der Verarbeitung personenbezogener Daten von natürlichen Personen gewährleistet werden könne.
Ein hohes Risiko bestehe nämlich dann, wenn zu erwarten sei, dass bei ungehindertem Geschehensablauf mit hoher Wahrscheinlichkeit ein Schaden für die Rechte und Freiheiten des Betroffenen eintrete. In einem solchen Fall sei es nicht maßgeblich, ob die Datenschutzverletzung auch zu einem besonders hohen Schadensumfang geführt hätte. In der hier streitgegenständlichen unbefugten Übermittlung von personenbezogenen Daten des Betroffenen an einen unberechtigten Dritten habe sich ein wahrscheinliches Risiko für die persönlichen Rechte und Freiheiten des betroffenen Bewerbers gezeigt. Denn infolge der Datenübermittlung habe der Betroffene die Kontrolle darüber verloren, wer Kenntnis über den Bewerbungsvorgang bei der Bank hatte. Diese Informationen seien, so das Gericht, auch dazu geeignet, den Bewerber zu benachteiligen, wenn diese Informationen an etwaige Konkurrenten für einen Arbeitsplatz gelangen oder gar den Ruf des betroffenen Bewerbers schädigen, wenn z. B. der derzeitige Arbeitgeber erfahren hätte, dass sich der Betroffene nach anderweitigen Arbeitsstellen umschaue. Zwar konnte der Betroffene vorliegend keine konkreten Nachteile nachweisen. Dies hindere aber einen immateriellen Schadensersatzanspruch nicht, weil die unberechtigte Weitergabe der sensiblen Informationen abstrakt zur Rufschädigung geeignet sei. Lediglich bei der Höhe des geltend gemachten Schadensersatzes sei laut dem Gericht zu berücksichtigen, dass der Betroffene tatsächlich keine beruflichen oder persönlichen Nachteile infolge der Datenpanne erlitten habe. Aus diesem Grunde hielt das Gericht einen Schadensersatz von nur 1.000,00 Euro anstatt der geltend gemachten 2 500,00 Euro für angemessen.
LG Darmstadt, Urteil vom 26.5.2020 – Az. 13 O 244/19