Bestimmte Gruppen von Betroffenen sind besonders sensibel zu behandeln. Hierzu zählen insbesondere abgelehnte Bewerber. Dies musste nun auch eine Privatbank erleben und für den Fehlversand von Bewerberdaten 1.000 Euro Schadensersatz zahlen.

 

Was war passiert?

Als die Bank eine Nachricht über Xing an einen Bewerber schicken wollte, ging diese fehl und erreichte einen unbeteiligten Dritten. Die Nachricht enthielt u.a. auch Angaben darüber, dass sich der Bewerber als Händler beworben hatte und dass seine Gehaltsvorstellungen zumindest über der Jahresvergütung in Höhe von 80.000 € liegen. Nachdem der Bewerber für die Stelle nicht weiter berücksichtigt wurde, beschwerte sich dieser über den Fehlversand und, dass er von der Bank nicht informiert wurde. Der Datenschutzbeauftragte der Bank bestritt, dass die Bank für die falsche Versendung verantwortlich sei und verneinte insoweit einen Datenschutzverstoß.

 

Entscheidung

Das angerufene Landgericht Darmstadt (Urteil vom 26.05.2020, Az.: 13 O 244/19) verurteilte die Bank daraufhin zur Zahlung eines Schmerzensgeldes in Höhe von 1.000 Euro.
Bei einer Datenpanne bzw. Verletzung des Schutzes personenbezogener Daten (Art. 4 Nr. 12 DSGVO) ist bei einem hohen Risiko neben der Meldung bei der Aufsichtsbehörde auch eine Unterrichtung des Betroffenen selbst vorgesehen (Art. 34 DSGVO).
Das Gericht nahm durch den Fehlversand von Bewerberdaten ein hohes Risiko an, da der Bewerber die Kontrolle über seine Informationen verloren hatte. Die fehlgegangen Daten waren zu einer Benachteiligung des Bewerbers geeignet, da diese Informationen an etwaige Konkurrenten für einen Arbeitsplatz gelangen oder gar seinen Ruf schädigen konnten. So hätte auch der derzeitige Arbeitgeber des Bewerbers erfahren können, dass sich dieser nach anderweitigen Arbeitsstellen umschaut.
Da die Bank den Bewerber nicht unverzüglich über den Fehlversand informiert hatte, nahm das Gericht einen Verstoß gegen die Meldepflicht an. Zudem stellte es eine Verletzung von Art. 6 DSGVO fest, da die Bank für den Fehlversand keine Rechtsgrundlage habe.
Das Landgericht erachtet dabei ein Schmerzensgeld in Höhe von 1.000 Euro für angemessen, da der Bewerber keine weiteren beruflichen oder persönlichen Beeinträchtigungen erlitten hat und die Nachricht nur an einen Dritten fehlgeleitetet wurde.

 

Kein Nachweis einer Schulung begründet Wiederholungsgefahr

Neben dem Zuspruch von Schadensersatz sprach sich das Gericht auch für eine Wiederholungsgefahr in Bezug auf die von der Bank abzugebende Unterlassungserklärung aus. Eine solche kann grundsätzlich nur widerlegt werden, wenn nach allgemeiner Lebenserfahrung nicht mehr mit einem Verstoß zu rechnen ist. Der Umstand des Zeitraums, in dem seit der Rechtsverletzung bis zum Urteil keine weiteren Probleme bzw. Rechtsverletzungen eingetreten sind, reichte dem Gericht dabei allein nicht aus.
Die Durchführung von Schulungsmaßnahmen für alle Mitarbeiter war im Verfahren nicht nachweisbar. Zwischen dem Vorfall und einer entsprechenden Benachrichtigung an die Mitarbeiter vergingen mehr als 6 Wochen, so dass seitens der Bank nicht unverzüglich auf die Situation reagiert wurde, um etwaige weitere Verstöße bereits zeitnah bzw. sofort zu verhindern. Darüber hinaus hielt das Gericht eine von neuen Mitarbeitern abzugebende Erklärung allein nicht für ausreichend an, um im Rahmen zumutbarer Maßnahmen weitere zukünftige Verstöße angemessen zu verhindern.

 

Fazit

Eine der häufigsten Datenpannen ist das organisatorische Fehlverhalten durch nicht getroffene technisch-organisatorische Maßnahmen. Hierzu zählen insbesondere
- versehentlichen Falsch-Adressierung von Briefen, Faxen und E-Mails
- die Versendung einer Massen-E-Mail unter Verwendung des cc- statt des bcc-Feldes
- der Zugriff auf vertrauliche Unterlagen infolge fehlender Passwort-Vorgaben oder eines den fachlichen Standards entsprechenden Berechtigungskonzeptes
Der Vorfall zeigt auch, wie wichtig die Reaktion nach Entdeckung eines Datenschutzvorfalls ist.

 

Rechtsanwalt und Datenschutzbeauftragter Robert Harzewski