Wer, der über ein XING-Profil verfügt, kennt es nicht: Anfragen von Recruitern oder Talent Managern, in denen es um ein bestimmtes (mehr oder weniger) lukratives Stellenangebot geht. Doch nicht nur die Auswahlkriterien für derartige Benachrichtigungen scheinen mitunter fragwürdig. Diese Praxis kann auch zu einem (vermutlich unterschätzten) datenschutzrechtlichen Risiko führen. Dies musste eine Privatbank feststellen, deren Mitarbeiterin versehentlich eine Nachricht über XING an den falschen Empfänger verschickte, was schließlich in Gerichtsverfahren vor dem LG Darmstadt (Urteil vom 26.05.2020 – 13 O 244/19) und dem OLG Frankfurt am Main (Urteil vom 02.03.2022 – 13 U 206/20) endete.

Einmal abgeschickt = nicht mehr umkehrbar

Was war passiert? Die besagte Mitarbeiterin sendete im Rahmen eines Bewerbungsprozesses folgenden Text über den XING-Messenger-Dienst an eine dritte, daran unbeteiligte Person:

„Lieber Herr B, ich hoffe es geht Ihnen gut! Unser Leiter Herr C findet ihr Händler Profil sehr interessant. Jedoch können wir Ihre Gehaltsvorstellungen nicht erfüllen. Er kann 80k + variable Vergütung anbieten. Wäre das unter diesen Gesichtspunkten weiterhin für Sie interessant? Ich freue mich von Ihnen zu hören und wünsche Ihnen einen guten Start in den Dienstag. Viele Grüße, D“ (siehe Urteil des OLG Frankfurt).

Zufälligerweise kannte derjenige, welcher diese Rückmeldung fälschlicherweise erhalten hatte, den korrekten Empfänger, da beide früher in derselben Holding gearbeitet hatten, und leitete die Nachricht an ihn weiter. Im weiteren Verlauf erhielt auch der korrekte Empfänger die Nachricht von der Mitarbeiterin selbst, ging aber im weiteren Bewerbungsverlauf nicht auf den Vorfall ein. Erst nach der Mitteilung, er werde nicht mehr im Bewerbungsverfahren für die hochdotierte Stelle berücksichtigt, wies er in einer E-Mail auf die Datenschutzverletzung hin, erkundigte sich nach dem Umgang damit und fragte nach, ob noch andere für ihn bestimmte Nachrichten an Dritte verschickt worden seien. Am Ende der daraufhin in Gang gesetzten Ereigniskette verklagte er die verantwortliche Bank, u. a. auf Schadensersatz nach Art. 82 DSGVO.

Schaden oder kein Schaden – das ist hier die Frage

Die Behauptung des ehemaligen Bewerbers, der zum Kläger geworden war, lautete: Die Finanzbranche sei in Bezug auf berufliche Informationen besonders sensibel. Es bestehe die Befürchtung, dass der falsche Empfänger die Daten aus der an ihn gegangenen Nachricht weitergegeben habe. Er arbeite in derselben Branche und habe als potentieller Konkurrent auf Stellen die Möglichkeit gehabt, durch Kenntnis der Informationen einen Vorteil im Bewerbungsverfahren erhalten zu können. Durch die Versendung an ihn sei ihm, dem Kläger, ein Schaden entstanden. Beantragt wurde daher, die Privatbank zur Zahlung eines immateriellen Schadensersatzes von mindestens 2.500 Euro zu verurteilen.

Zumindest das LG Darmstadt erkannte auch einen Anspruch auf Schadensersatz des Klägers in erster Instanz und begründete diesen wie folgt:

„Dem Kläger ist […] ein immaterieller Schaden entstanden. Infolge der Weitersendung der Daten wurden persönliche, berufliche Informationen an einen unbeteiligten Dritten weitergeleitet. Dadurch hat der Kläger die Kontrolle darüber verloren, wer Kenntnis davon hat, dass er sich bei der Beklagten beworben hat. Darüber hinaus hat eine dritte Person nun Kenntnis über den Bewerbungsvorgang und finanzielle Hintergründe bzw. Vertragswandlungen. Diese Informationen sind darüber hinaus auch abstrakt dazu geeignet, den Ruf des Klägers oder dessen Ansehen bzw. sein weiteres berufliches Fortkommen zu schädigen, wenn z.B. der derzeitige Arbeitgeber des Klägers erfahren hätte, dass sich der Kläger nach anderweitigen Arbeitsstellen umschaut, so dass jedenfalls auch eine solche Gefahr aus Sicht des Klägers im Raum stand.“

Auch wenn kein konkreter Nachteil vorgetragen werde, spreche dies nicht gegen einen Schmerzensgeldanspruch. Da lediglich einem falschen Empfänger die Informationen zugänglich gemacht worden seien und der Kläger „keine weiteren beruflichen oder persönlichen Beeinträchtigungen erlitten“ habe, wurde ihm ein Schmerzensgeld von 1.000 Euro zugesprochen.

Gegen dieses Urteil legte die Privatbank jedoch Berufung ein, mit der stichhaltigen Begründung, die Zuerkennung des Schadensersatzes sei rechtsfehlerhaft, da dieser einen Schaden voraussetze und das LG Darmstadt ausdrücklich festgestellt habe, „dass dem Kläger weder persönlich noch beruflich ein Nachteil entstanden sei. Insoweit sei die Entscheidung widersprüchlich und verstoße gegen die Denkgesetze“. Das mit der Berufung befassten OLG Frankfurt prüfte daraufhin das Vorliegen der Voraussetzungen für einen Schadensersatz im konkreten Fall. Es ging hierbei auch auf die umstrittene Frage ein, ob ein Datenschutzverstoß allein für das Entstehen eines derartigen Anspruchs ausreiche oder ob es eines Nachweises eines konkreten (immateriellen) Schadens bedarf.

Das OLG Frankfurt kam schließlich zu einer anderen Schlussfolgerung als das LG Darmstadt und sah keine Anspruchsgrundlage:

Das Vorliegen eines konkreten -immateriellen- Schadens, wozu auch Ängste, Stress sowie Komfort- und Zeiteinbußen zählen (Bergt in: Kühling/Buchner, DS- GVO BDSG, 3. Auflage 2020, Rn. 18 b), hat der Kläger nicht dargetan. Der Vortrag in seinem auf einen entsprechenden Hinweis des Senats eingereichten Schriftsatz […] erschöpft sich in der ‑ erneuten- Darlegung des Datenschutzverstoßes. Insofern führt der Kläger an, dass der Schaden nicht in dem bloßen, abstrakten Kontrollverlust über die offenbarten Daten, sondern in der Tatsache liege, dass nunmehr mindestens eine weitere Person, die den Kläger und potentielle wie ehemalige Arbeitgeber kenne, über Umstände Kenntnis habe, die der Diskretion unterlägen. Zudem empfinde der Kläger das “Unterliegen” in den Gehaltsverhandlungen als Schmach, die er nicht an Dritte ‑ vor allem nicht an potentiellen Konkurrenten ‑ weitergegeben hätte.“

Der Kläger habe keine näheren Ausführungen zu einem Schaden gemacht, während auch die „Schmach“ des Klägers nicht als immaterieller Schaden zu bewerten sei. Es müsse ein tatsächlich erlittener Schaden nachgewiesen werden, um ausufernde Schadensersatzforderungen bei Datenschutzverstößen, die für die Betroffenen eigentlich folgenlosen sind, zu vermeiden.

Für einen Anspruch bedarf es eines Schadens

Dieses Urteil reiht sich in eine Reihe von Entscheidungen ein, in denen es um die Grundsatzfrage geht, ab welcher Schwelle ein Anspruch nach Art. 82 DSGVO besteht. Erwägungsgrund 146 S. 6 der DSGVO, wonach „die betroffenen Personen […] einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten“ sollten, sowie die Rechtsprechung des OLG Frankfurt sprechen dafür, dass ein Schaden tatsächlich (nachweisbar) eingetreten sein muss. Unklar bleibt bislang, wie sich der Europäische Gerichtshof zu diesem Thema positionieren wird. Entscheidungen dazu werden mit Spannung erwartet (wir berichteten).