Eine Bank hatte die Gehaltsvorstellungen eines Bewerbers aus Versehen an einen Dritten weitergeleitet. Der Bewerber dürfte deshalb Schadensersatz nach der Datenschutz-Grundverordnung bekommen, urteilt der EuGH.
Der Bewerbungsprozess der Bank fand über die Karriereplattform Xing statt. Eine Mitarbeiterin wollte dem Bewerber über den Messenger-Dienst des Portals mitteilen, dass die Bank seinen Gehaltsforderungen nicht nachkommen könne. Sie verschickte die Nachricht jedoch aus Versehen an einen unbeteiligten Dritten - der zu allem Überfluss auch noch den Bewerber kannte und ihn darauf ansprach.
Der Bewerber befürchtet wegen der Offenlegung seiner Gehaltsvorstellungen Nachteile bei der Jobsuche. Sein Unterliegen in den Gehaltsverhandlungen empfindet er zudem als Schmach. Er verlangt deshalb Schadensersatz nach der Datenschutz-Grundverordnung (DSGVO). Nach dem heutigen Urteil des Europäischen Gerichtshofs (EuGH) wird er den wohl bekommen.
Immer mehr Klagen
So wie dieser Geschädigte klagen immer mehr Betroffene auf Schadensersatz wegen Datenschutzverstößen. Oft geht es ihnen dabei um den Ersatz von sogenannten immateriellen Schäden, also nicht-finanziellen Beeinträchtigungen. Wenn persönliche Daten in falsche Hände gelangen, kann das spürbare Folgen haben: Betroffene werden durch Spam-Anrufe belästigt, haben Angst vor dem Missbrauch ihrer Bankdaten oder befürchten, dass diskrete Informationen an die Öffentlichkeit gelangen.
Der EuGH hat sich heute erneut großzügig bei der Anerkennung solcher immateriellen Schäden gezeigt. Das bedeutet aber nicht, dass Betroffene auch immer hohe Summen einklagen können.
Datenschutzverstöße sind vielfältig
In der Vorstellung Vieler sieht ein typischer Datenschutzverstoß so aus: Bei einem sozialen Netzwerk entsteht ein Datenleck, das es kriminellen Hackern ermöglicht, massenhaft Nutzerdaten abzugreifen. Weniger offensichtlich ist, dass Datenschutzverstöße auch in alltäglichen Situationen vorkommen. Etwa beim Kauf einer neuen Waschmaschine, wenn der Mitarbeiter die Vertragsunterlagen mit persönlichen Kundendaten versehentlich dem falschen Kunden gibt. Oder eben bei der Jobsuche über ein Karriereportal, wenn die Personalabteilung die Chats verschiedener Bewerber verwechselt.
In diesem Zusammenhang wichtig: Der Waschmaschinenhändler und der potenzielle Arbeitgeber können sich nicht deshalb aus der Verantwortung ziehen, weil einer ihrer Mitarbeiter einen Fehler gemacht hat. Denn Unternehmen haften auch für ihre Angestellten.
Keine hohen Hürden für immateriellen Schaden
In mehreren Entscheidungen hat der EuGH zwar klargestellt: Ein Datenschutzverstoß an sich ist noch kein Schaden. Betroffene müssen vielmehr erläutern, welche negativen Folgen sie aufgrund der unerlaubten Datenverarbeitung erleiden. Die Hürden dafür sind aber nicht allzu hoch. So soll in der ganzen EU ein hohes Datenschutzniveau sichergestellt werden.
Die Gerichte erkennen einen Schaden etwa schon dann an, wenn der Betroffene die Kontrolle über seine persönlichen Daten verloren hat. Zum Beispiel nach einem Datenleck auf einer Social-Media-Plattform oder wenn Name, Adresse und Telefonnummer in einem Online-Handelsregister auftauchen.
Dass Dritte die Daten auch tatsächlich missbrauchen, ist dabei nicht nötig. Es reicht die begründete Sorge von Betroffenen, dass dies passieren könnte - etwa nach einem Cyberangriff auf eine Behörde, die sensible Daten von Bürgerinnen und Bürgern verwaltet.
Auch die heutige Entscheidung reiht sich in diese großzügige Rechtsprechung ein: Der EuGH hat geurteilt, dass auch alltägliche Empfindungen wie Sorge oder Ärger ein Schaden sein können.
Schadenshöhe wenig vorhersehbar
Wie viel Geld ein Betroffener verlangen kann, steht nicht in der DSGVO. Allerdings gibt es in der EU - anders als etwa in den USA - keinen Strafschadensersatz. Das bedeutet, dass man nur einen Ausgleich für die Folgen des Datenschutzverstoßes verlangen kann. Bestraft werden soll der Verantwortliche für sein Fehlverhalten aber nicht.
Deswegen können Betroffene gerade mit Blick auf ihre immateriellen Schäden oft keine allzu hohen Beträge einklagen. Im Fall eines großen Facebook-Datenlecks etwa hielt der BGH einen Betrag in Höhe von 100 Euro für angemessen. Dem EuGH genügt teilweise sogar eine bloße Entschuldigung als Ausgleich für den Datenschutzverstoß.
Der Banker, der sich über Xing um einen neuen Job beworben hatte, forderte einen Betrag von 2.500 Euro. Ob er den tatsächlich in voller Höhe bekommt, ist weiterhin offen. Denn der EuGH hat nur über abstrakte Fragen zur Auslegung der DSGVO entschieden, die der Bundesgerichtshof ihm vorgelegt hatte. Wie viel Geld die Schäden in Form von Ärger, Sorge und Schmach wert sind, darüber werden nun die Gerichte in Deutschland entscheiden.
Haftungsausschluss: Das Urheberrecht dieses Artikels liegt bei seinem ursprünglichen Autor. Der Zweck dieses Artikels besteht in der erneuten Veröffentlichung zu ausschließlich Informationszwecken und stellt keine Anlageberatung dar. Sollten dennoch Verstöße vorliegen, nehmen Sie bitte umgehend Kontakt mit uns auf. Korrektur Oder wir werden Maßnahmen zur Löschung ergreifen. Danke
