Weil in einem Bewerbungsverfahren eine Antwort-Mail auf eine Bewerbung mit personenbezogenen Daten durch einen Fehler an einen Dritten versendet wurde, verklagte der Bewerber das Unternehmen. Das Landgericht Darmstadt sprach ihm ein Schmerzensgeld in Höhe von 1.000 EUR zu, nicht zuletzt, weil er über die Panne nicht informiert wurde.
Dass E-Mails nicht immer an den eigentlichen Adressaten gesendet werden, sondern mitunter aus Versehen in den Postfächern von Dritten landen, ist keine Seltenheit. Und konnte schon immer peinlich sein. Seit die DSGVO in Kraft ist, sind die Folgen noch gravierender geworden.
DSGVO-Pflichten bei Irrläufern mit persönlichen Daten
Sollte so eine Panne passiert sein und dadurch personenbezogene Daten in die Hände Dritter gelangen (= Datenpanne i.S. der DSGVO), müssen die Verursacher die betroffenen Personen nach den Vorgaben der DSGVO unverzüglich informieren, sofern durch diese versehentliche Datenweitergabe ein hohes Risiko ausgeht. Unterbleibt diese Information jedoch, können die Betroffenen Schadensersatzansprüche geltend machen.
Fehlgeleitete Bewerber-E-Mail ohne Info über Fehlversand
In dem konkreten Fall hatte sich der Kläger über das Portal Xing bei einer Bank um eine Stelle beworben. Bei der Antwort über diesen Dienst wurde diese Nachricht jedoch versehentlich an einen anderen Xing-Nutzer gesendet. In dieser Antwort-Mail wurde nicht nur das Interesse des Bewerbers an der Stelle bestätigt, konkret wurde etwa auch schon auf die Gehaltsvorstellungen beider Seiten eingegangen. Als die Bank den Fehler bemerkte, schickte sie die Antwort erneut, diesmal an den richtigen Empfänger, den sie zunächst allerdings nicht über den Fehlversand informierte.
Zufallsempfänger informierte den Betroffenen
Vielmehr hatte zunächst schon das versehentlich angeschriebene Xing-Mitglied die Nachricht an den eigentlichen Empfänger weitergeleitet. Zunächst unternahm der Bewerber in der Sache nichts, als jedoch nach ca. 2 Monaten seine Bewerbung nicht erfolgreich war, fragte er bei der Bank wegen des Fehlversands nach und wurde dann auch erst mit entsprechender Verzögerung über diese fehlgeleitete E-Mail informiert. Daraufhin machte er vor Gericht einen Schadensersatzanspruch wegen des DSGVO-Verstoßes in Höhe von 2.500 EUR geltend.
Gericht sieht hohes Nachteilsrisiko im Fehlversand
Das Landgericht Darmstadt gab der Klage nun in weiten Teilen Recht. In der Urteilsbegründung heißt es etwa, dass durch die Weiterleitung der Nachricht an einen unbeteiligten Dritten der Kläger die Kontrolle darüber verloren habe, wer Kenntnis über seine Bewerbung erhielt. Diese Informationen hätten den Kläger erheblich zum Nachteil gereichen können, etwa wenn sein damaliger Arbeitgeber oder seine Kollegen davon erfahren hätten. Dieser potenzielle Schaden habe ein hohes Risiko für die persönlichen Rechte und Freiheiten des Klägers bedeutet, wobei es nicht maßgeblich sei, ob die Datenschutzverletzung auch tatsächlich zu einem besonders hohen Schaden geführt habe.
Gericht missfiel insbesondere die Verletzung der Benachteiligungspflicht aus Art. 34 DSGVO
Insbesondere wertete das Gericht aber die unterbliebene Benachrichtigung des Klägers als Verstoß gegen Benachrichtigungspflicht nach Art. 34 DSGVO. Demnach
- müssen die von einer Datenschutzverletzung betroffenen Personen
- unmittelbar nach Kenntnisnahme vom Vorfall
- durch die DSGVO-Verletzer informiert werden,
- sofern dadurch „ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen“ entstanden ist.
Höhe des Schmerzensgeldes bei Datenpanne
Bei der Höhe des geforderten Schmerzensgeldes wollte sich das Gericht den Forderungen des Klägers jedoch nicht in vollem Umfang anschließen. So wiesen die Richter darauf hin, dass die Informationen durch das Versehen nur einer weiteren Person zugänglich waren und durch den Vorfall letztlich keine weiteren beruflichen oder persönlichen Beeinträchtigungen hervorgerufen wurden.
Angesichts dieser Umstände hielt das LG Darmstadt eine Summe von 1.000 statt der geforderten 2.500 EUR für angemessen.
(LG Darmstadt, Urteil v. 26.05.2020, 13 O 244/19).
Weitere News zum Thema:
Datenschutz und Speicherung der Daten ehemaliger Mitarbeiter im Unternehmen
Schadensersatzpflicht des Arbeitgebers
Wann entstehen Ansprüche auf Schadensersatz gegenüber dem Arbeitgeber?
Welche Datenschutzpannen müssen gemeldet werden?
Nicht in jedem Fall muss eine Verletzung des Schutzes personenbezogener Daten gemeldet werden. Entscheidend für die Pflicht zur Meldung ist, ob die Datenschutzverletzung zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Für nähere Erläuterungen dieses Tatbestands und weitere allgemeine Informationen zur Meldepflicht verweist der LfDI auf die Leitlinien des Europäischen Datenschutzausschusses, die dazu auch zahlreiche anschauliche Praxisbeispiele enthalten.
Download mit Vorgaben zur DSGVO-Meldepflicht bei Datenpannen
Die vom Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg zur Verfügung gestellten Leitlinien stehen auf der Website des LfDI zum Download bereit.
Als Beispiel für einen meldepflichtigen Vorfall wird hier etwa der Verlust eines USB-Sticks genannt, auf dem sich unverschlüsselte personenbezogene Daten befinden. Auch wenn sich nicht feststellen lässt, ob Unbefugte tatsächlich Zugang zu diesen Daten haben, muss so ein Vorfall gemeldet werden.
Gemeldet werden muss es, wenn ein Dritter einem Verantwortlichen mitteilt, dass er versehentlich personenbezogene Daten eines Kunden des Verantwortlichen erhalten hat und dabei Belege für diese unbefugte Offenbarung vorlegt.
- Wurde ein Angriff auf das Computernetzwerk bemerkt und festgestellt, dass gespeicherte Daten beeinträchtigt wurden, muss eine Meldung erfolgen.
- Ein erfolgreicher Angriff durch eine Verschlüsselungssoftware (Ransomware) mit anschließender Lösegeldforderung ist ebenfalls ein meldepflichtiger Vorfall.
Die Vorfälle müssen gemeldet werden, sobald sie den Verantwortlichen bekannt werden. Die Meldung muss dabei unverzüglich oder maximal 72 Stunden danach erfolgen. Gibt es zunächst Hinweise auf einen meldepflichtigen Vorfall, kann zunächst eine „kurze“ Untersuchung zur Überprüfung durchgeführt werden. Während des Zeitraums dieser Überprüfung gilt die Datenschutzverletzung noch nicht als „bekannt“.