Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Blog News
Im hektischen Büroalltag können durchaus mal Fehler beim Verfassen von E-Mails passieren: ein Wort nicht richtig geschrieben, den Anhang vergessen oder einen falschen Namen in der Anrede verwendet – alles halb so schlimm. Ein schwerwiegenderer Fehler war allerdings der Mitarbeiterin einer Privatbank unterlaufen. Sie hatte auf dem Portal XING eine Antwort an einen Bewerber für eine Arbeitsstelle bei der Bank verfasst – und schickte diese Antwort dann aus Versehen aber nicht an den Bewerber, für die sie ja gedacht war, sondern an einen unbeteiligten Dritten. So erhielt dieser unbeteiligte Dritte persönliche und berufliche Informationen zu der Person.
Das ist bereits ein DSGVO-Verstoß gewesen – es ging aber noch weiter: Obwohl der fälschliche Empfänger die Bank darauf aufmerksam machte, dass er diese Mail erhalten hatte, die offensichtlich nicht für ihn bestimmt war, informierte die Bank den eigentlichen Empfänger (den Bewerber) nicht über den Fehler. Im Dezember 2018, zwei Monate nach dem Vorfall, erteilte sie dann dem Bewerber eine Absage für die Arbeitsstelle. Was die Bank wohl nicht wusste: Er und der fälschliche Empfänger der Mail kannten sich – sodass sie sich über die fehlgeleitete Mail vom Oktober ausgetauscht hatten. So forderte der Bewerber aufgrund des DSGVO-Verstoßes immateriellen Schadenersatz in Höhe von 2.500€.
"Lieber Herr (...), ich hoffe es geht Ihnen gut! Unser Leiter - Herr R - findet ihr (…) Profil sehr interessant. Jedoch können wir ihre Gehaltsvorstellungen nicht erfüllen. Er kann 80k + variable Vergütung anbieten. Wäre das unter diesen Gesichtspunkten weiterhin für Sie interessant? Ich freue mich von Ihnen zu hören und wünsche Ihnen einen guten Start in den Dienstag. Viele Grüße, J"
Das Problematische an dieser Nachricht: Sie enthält den Namen des Bewerbers, die Tatsache, dass er sich bei der Privatbank beworben hatte, und sein Gehaltsniveau – personenbezogene Daten, die durch die fehlerhafte Zusendung der Mail an einen unbeteiligten Dritten gelangten.
Die fehlgeleitete E-Mail und das Nichtinformieren darüber stellen eindeutige DSGVO-Verstöße dar. Der Kläger (der Bewerber und eigentliche Empfänger der Mail) habe gemäß Artikel 82, Absatz 1 (DSGVO) Anspruch auf Schadenersatz, da ihm ein immaterieller Schaden entstanden sei. Denn: persönliche und berufliche Informationen von ihm seien an einen unbeteiligten Dritten weitergeleitet worden, wodurch dieser ungewollt Kenntnis von der Bewerbung und auch über finanzielle Hintergründe bzw. Gehaltsverhandlungen erhalten hat. Dadurch sei der Schutz personenbezogener Daten verletzt worden. Dies stelle ein hohes Risiko für den Betroffenen dar. Denn es sei zu erwarten gewesen, dass seine Rechte und Freiheiten höchstwahrscheinlich geschädigt würden, wenn das Geschehen ungehindert seinen Lauf genommen hätte.
So hätten durch die fehlgeleitete Mail auch etwaige Konkurrenten für den Arbeitsplatz, auf den sich der Kläger beworben hatte, die Informationen erhalten können – was den Kläger hätte benachteiligen können. Oder der derzeitige Arbeitgeber des Klägers hätte davon erfahren können, dass er sich nach anderweitigen Arbeitsstellen umschaut. Dadurch hätten dann der Ruf bzw. das Ansehen des Klägers oder sein berufliches Fortkommen geschädigt werden können.
Diese Gefahren standen realistischerweise im Raum. Glücklicherweise sind sie aber nicht eingetreten – der Kläger hat durch die von ihm beklagte fehlgeleitete Mail keine weiteren beruflichen oder persönlichen Beeinträchtigungen erlitten. Auch haben neben dem einen falschen Empfänger keine weiteren Personen die Mail bzw. die Informationen daraus erhalten. Insofern befand das LG Darmstadt ein Schmerzensgeld in Höhe von 1.000€ als Schadenersatz als angemessen (Urteil vom 26.05.2020, Az.: 13 O 244/19).
Der E-Mail-Vorfall hatte sich bereits am 23.10.2018 ereignet. Der falsche Adressat hatte der Bank-Mitarbeiterin sogar noch am selben Tag mitgeteilt, dass er die E-Mail erhalten hatte, die wohl nicht für ihn bestimmt gewesen ist. Die Beklagte wusste also von dem Datenschutzverstoß, meldete ihn aber nicht. Erst im Dezember 2018, also zwei Monate später, informierte die Beklagte den Bewerber/Kläger bzw. gab die fehlgeleitete Mail ihm gegenüber zu.
Eigentlich hätte sie den Bewerber sofort informieren müssen, dass durch die fehlgeleitete Mail persönliche Daten von ihm an einen Dritten gelangt waren. Zudem hätte sie auch diesen Dritten kontaktieren müssen – ihn bitten müssen, die Nachricht zu löschen und nicht weiter zu verwenden. Das hatte die Beklagte aber nicht getan. Somit habe sie Artikel 34 der DSGVO verletzt. Demnach müssen Datenschutzverletzungen nämlich unverzüglich gegenüber der betroffenen Person gemeldet werden, wenn die Verletzung „ein hohes Risiko für persönliche Rechte und Freiheiten“ zu Folge hat – wie es hier ja der Fall gewesen ist.
Als Kanzlei für Datenschutzrecht beraten wir von SBS LEGAL Sie kompetent und fachlich versiert in allen Belangen des Datenschutzes. Unser Team aus erfahrenen Anwälten sorgt dafür, dass Unternehmen (darunter auch solche mit Geschäftssitz außerhalb der EU) den hohen Anforderungen des Datenschutzrechtes in jeder Hinsicht gerecht werden und die von der Rechtsprechung gesetzten Maßstäbe souverän umsetzen – und das schon seit vielen Jahren.
Wir stehen auch Ihnen gern als Partner zur Seite. Sie brauchen Hilfe im Datenschutzrecht? Kontaktieren Sie uns gern. Wir freuen uns bereits jetzt, Ihren Erfolg zu gestalten.
Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung.
Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten der SBS LEGAL?