Der eine oder andere hat es vielleicht schon einmal erlebt. Man schreibt eine Nachricht im Internet, hat in der Routine des Alltags aber den falschen Empfänger der Nachricht ausgewählt (oder das E-Mailsystem hat den falschen Namen automatisiert ergänzt) und die Nachricht versandt. Die Funktion „Nachricht zurückholen“ in E-Mailsystemen hilft zumeist nur bedingt weiter.
Augen auf beim Nachrichtenversand
Ähnlich erging es einer Privatbank, bei der ein Bewerbungsprozess stattfand. Die Bank wollte eine Nachricht über Xing an den Bewerber schicken, in der es um Gehaltsvorstellungen im Rahmen einer Bewerbung ging. Allerdings ging diese Nachricht nicht an den Bewerber, sondern an eine dritte Person. Die Bank erkannte den Fehler und versandte die Nachricht nochmals an den Bewerber. Die dritte Person kannte allerdings den Bewerber und leitete die fehlgegangene Nachricht an den Bewerber weiter.
Nachdem der Bewerber nach 2 Monaten nicht in die nähere Auswahl kam, rügte dieser gegenüber der Bank die fehlgeleitete Nachricht und erkundigte sich auch danach, warum er nicht über die Fehlleitung informiert worden war. Im Zusammenhang mit dieser Rüge äußerte sich der Datenschutzbeauftragte der Bank zu der Fehlleitung und machte in diesem Zusammenhang deutlich, dass die Fehlleitung nicht sofort erkannt worden sei, aber unverzüglich nach Kenntniserlangung der Bewerber informiert worden sei.
Der Bewerber forderte vor dem Landgericht Darmstadt (Urteil vom 26.05.2020, Az.: 13 O 244/19) von der Bank ein Schmerzensgeld für die fehlgeleitete Nachricht. Das Gericht verurteilte die Bank zur Zahlung eines Schmerzensgeldes in Höhe von 1.000 Euro.
Hohes Risiko für Betroffene bei Falschversand von Bewerberdaten
Das Gericht ging zunächst davon aus, dass die Nachricht personenbezogene Daten beinhaltete. So waren Informationen zum Bewerbungsprozess und zu Gehaltsvorstellungen des Bewerbers enthalten. Im Versand der Nachricht sah das Gericht eine Datenverarbeitung im Sinne von Art. 4 Nr. 2 DSGVO.
Für diese Datenverarbeitung in Form des Falschversandes bestand aber nach Ansicht des Gerichts keine Rechtsgrundlage, insbesondere keine Einwilligung des Bewerbers, womit ein Datenschutzverstoß vorläge.
Daneben sah das Gericht aber auch ein Verstoß der Bank gegen Art. 34 DSGVO als einschlägig an, da für den Bewerber ein hohes Risiko für die persönlichen Rechte und Freiheiten des Bewerbers bestanden und daher die Bank verpflichtet gewesen wäre, ihn unverzüglich über die Fehlleitung zu unterrichten.
Zur Erinnerung: Bei einer meldepflichtigen Datenpanne wie einer Fehlleitung von personenbezogenen Daten unterscheidet die DSGVO zwischen einem (normalen) Risiko nach Art. 33 DSGVO und einem hohen Risiko nach Art. 34 DSGVO. Bei einem normalen Risiko muss der Verantwortliche „nur“ die Aufsichtsbehörde über eine Datenpanne unterrichten, bei einem hohen Risiko zusätzlich die Betroffenen.
Das hohe Risiko begründete das Gericht damit, dass der Bewerber die Kontrolle darüber verloren hat, wer Kenntnis von der Bewerbung habe. Außerdem seien die fehlgeleiteten Informationen zur Bewerbung dazu geeignet, den Kläger zu benachteiligen, wenn diese Informationen an etwaige Konkurrenten für einen Arbeitsplatz gelangen oder gar den Ruf des Klägers schädigen, wenn der derzeitige Arbeitgeber von der Neuorientierung erfahren hätte.
Außerdem sei die Benachrichtigung des Bewerbers nach Art. 34 DSGVO nicht unverzüglich, also ohne schuldhaftes Zögern im Sinne von § 121 BGB erfolgt.
Schmerzensgeld bei Falschversand mit hohem Risiko
Aus dem hohen Risiko für den Bewerber durch die Fehlleitung der Information und der fehlenden unverzüglichen Benachrichtigung des Bewerbers folgert das Landgericht einen immateriellen Schaden für den Bewerber. Kontrollverlust, unberechtigte Kenntnis über den Bewerbungsvorgang und die finanziellen Hintergründe durch einen Dritten, sowie die Eignung der Rufschädigung bzw. Schädigung des beruflichen Fortkommens ergäben laut Landgericht aus Art. 82 Abs. 1 in Verbindung mit § 249 BGB ein Schmerzensgeld von 1.000 Euro.
Fazit
Sorgfalt vor Schnelligkeit lehrt dieses Urteil des Landgerichts. Wie beim Versand von Newslettern mit den Empfängeradressen in cc statt in bcc ist nun auch im arbeitsrechtlichen Umfeld darauf zu achten, dass der Empfänger von Nachrichten korrekt ist, bzw. keine Unberechtigten Daten erlangen, da dies sonst teuer werden kann.
1.500 € Schmerzensgeld bei Versand von Gesundheitsdaten – datenschutz-notizen | News-Blog der datenschutz nord Gruppe
4. November 2020 @ 10:40
[…] wir bereits darüber berichtet haben, dass der Falschversand einer E-Mail teuer werden kann, gilt ähnliches für den unberechtigten […]
Wenn die Corona-App rote Welle hat – Wochenrückblick KW 44 | Artikel 91
30. Oktober 2020 @ 10:45
[…] lässt sich in den diversen Tätigkeitsberichten der Aufsichten nachlesen. Für eine Bank ist eine Xing-Nachricht an den falschen Empfänger teuer geworden, berichten die […]