1. Home
  2. News
  3. Das aktuelle Urteil zum Schadensersatzanspruch
  • Datenschutz

Das aktuelle Urteil zum Schadensersatzanspruch

Landesarbeitsgericht Düsseldorf, 12 Sa 1007/23, Urteil vom 10.04.2024

 

Einen interessanten Fall, der so nur das Leben schreiben kann,  hat kürzlich das Landesarbeitsgericht Düsseldorf entschieden. Dieser Fall betrifft eine Vielzahl von interessanten Aspekten aus dem Bereich Datenschutz allgemein und dem Arbeitnehmerdatenschutz.

Vorab lässt sich folgendes feststellen:

  • „Googeln“ kann teuer werden
  • Eine unvollständige Datenschutzinformation im Rahmen eines Bewerbungsprozesses kann zu einem Schadenersatzanspruchs des Bewerbers führen.

 

Worum ging es?

Ein Bewerber bewarb sich bei einer Universität auf eine Volljuristenstelle. Dabei hatte ein Mitglied der Auswahlkommission Informationen, dass der Bewerber in der Vergangenheit bereits mehrfach Entschädigungsverlangen nach dem AGG geltend gemacht hatte. 

Im Rahmen einer folgenden Google-Recherche stieß die Auswahlkommission auf einen Wikipedia-Eintrag, woraus hervor ging, dass der Bewerber erstinstanzlich, allerdings nicht rechtskräftig, wegen gewerbsmäßigen Betruges zu einer Freiheitsstrafe von einem Jahr und 4 Monaten auf Bewährung verurteilt wurde. Der Vorwurf lautete, er habe vielfach fingierte Bewerbungen eingereicht, um potenzielle Arbeitgeber anschließend wegen angeblicher Diskriminierung zur Zahlung von Entschädigungen (nach AGG) zu veranlassen. Dieses Phänomen ist allgemein als „AGG Hopping“ bekannt. Die entsprechenden Informationen aus dem Wikipedia Eintrag wurden seitens der Auswahlkommission dokumentiert und in den Bewerbungsprozess mit einbezogen.

Der Bewerber wurde abgelehnt, woraufhin dieser klagte und verschiedene Ansprüche auf Entschädigung, unter anderem nach dem AGG und der der DSGVO geltend machte.

Zugesprochen wurde dem Kläger letztlich eine Entschädigung nach Artikel 82 DSGVO in Höhe von 1.000,00 € wegen eines Schadens aus der Verletzung von Informationspflichten.

 

Rechtlicher Hintergrund

Nach Artikel 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz. Ein Verstoß hat das Gericht darin gesehen, dass der Kläger (Bewerber) nicht ordnungsgemäß entsprechend Artikel 14 Abs. 1 d) DSGVO bezüglich der Verarbeitung seiner personenbezogenen Daten informiert wurde. Konkret betraf dies die Beiziehung der Google-Informationen über die nicht rechtskräftige Verurteilung in den Bewerbungsprozess.

Hierdurch sei dem Kläger, so dass Gericht auch ein Schaden entstanden. Denn der Kläger sei aufgrund der fehlenden Information zu einem „bloßen Objekt“ der Datenverarbeitung gemacht worden und habe einen „Kontrollverlust“ bezüglich der Verwendung seiner Daten erlitten.

Artikel 13 und 14 DSGVO betreffen die Informationspflichten. Hiernach muss der Verantwortliche, der Daten über bestimmte natürliche Personen verarbeitet, transparent und unter Einhaltung der in den Artikeln beschriebenen Kriterien diese über die Verarbeitung der Daten informieren. Zunächst hat jeder Bewerber ein Recht auf eine Datenschutzinformation nach Artikel 13 Abs. 1 DSGVO. Diese wird im Bewerbungsprozess regelmäßig entweder im Zuge eines Online-Verfahrens direkt verknüpft oder ggf. unverzüglich nach Eingang dem Bewerbung zugänglich gemacht.

Sofern im weiteren Auswahlverfahren neben den bereits vorhanden Bewerbungsunterlagen noch eigene, weitere Informationen, wie hier über das Internet durch den Arbeitgeber über den Bewerber erhoben und berücksichtigt werden, besteht die Verpflichtung auch hierüber zu informieren. Artikel 14 DSGVO besagt, dass der Verantwortliche über Informationen, die er nicht durch den Betroffenen selbst (hier der Bewerber/Kläger) erhalten hat, spätestens innerhalb von einem Monat zu informieren hat.

Das hatte der Beklagte Arbeitgeber nicht getan. Im vorliegenden Fall hätte der Bewerber über die Recherche und die dort eingeholten Informationen und deren Verwendung, insbesondere auch das Strafverfahren betreffend, informiert werden müssen.

 

Was sollten Unternehmen beachten?

Generell bietet das Urteil Anlass noch einmal auf einige grundsätzliche Aspekte der Recherche im Internet bei Bewerbungsprozessen hinzuweisen. Personalverantwortliche sollten genau überlegen, ob und in welchem Umfang eine Internetrecherche durchgeführt werden soll.

Die Recherche in spezifischen Berufsportalen, wie LinkedIn oder Xing, auf denen der Bewerber bewusst Informationen auch für potentielle Interessenten eingestellt hat, ist natürlich zulässig. Dagegen ist die Recherche in nicht öffentlichen Profilen in sozialen Netzwerken grundsätzlich tabu. Auch im Übrigen ist eher Zurückhaltung geboten, da die Persönlichkeitsrechte des Bewerbers immer zu berücksichtigen sind.

Rechtlich kommt es darauf an, ob die Einholung weiterer Informationen bezüglich der Entscheidung für oder gegen einen Bewerber erforderlich ist. (6 Abs. 1 b DSGVO, § 26 Abs. 1 BDSG). Im vorliegenden Fall hatte das Gericht die Erforderlichkeit bejaht, da die Information über eine strafrechtliche Verurteilung angesichts der ausgeschriebenen Stelle als Volljurist von erheblicher Bedeutung gewesen sei und die Auswahlkommission auch Anhaltspunkte für AGG-Klagen bezüglich des Bewerbers hatte, die zu dieser Recherche geführt haben.

Problematisch kann eine Recherche in Suchmaschinen ohne konkreten Anlass sozusagen „ins Blaue hinein“ sein, denn diese kann ohne entsprechende Anhaltspunkte nicht als erforderlich erachtet werden. Ggf. sollte man zusätzliche Informationen besser direkt beim Bewerber erfragen.

Sollte man sich aber dafür entscheiden zusätzliche Informationen aus anderen Quellen, wie Suchmaschinen einzuholen und im Bewerberprozess zu verwenden, ist unbedingt an die nachträgliche Informationspflicht nach Artikel 14 DSGVO zu denken.

 

Was kann man hieraus weiter mitnehmen?

Werden die Vorschriften der DSGVO nicht eingehalten, kann dies nach Artikel 82 DSGVO zu einem Schadenersatz führen. Dies gilt im vorliegenden Fall sogar aufgrund einer fehlenden Datenschutzinformation.

 

Ausblick auf die derzeitige aktuelle Rechtsprechung

Innerhalb der Instanzgerichte, die über Ansprüche nach Artikel 82 DSGVO zu entscheiden hatten, gab es bei der Auslegung der DSGVO eine Reihe von Rechtsfragen, die dem Europäischen Gerichtshof (EuGH) vorgelegt wurden. Hiervon sind zwei wesentliche Punkte nunmehr durch den EUGH geklärt worden.

Geklärt ist nunmehr, dass nicht jeder Verstoß gegen die DSGVO zu einem Schadenersatzanspruch führt. Vielmehr muss dem Betroffenen auch tatsächlich ein Schaden entstanden sein, den er auch nachweisen muss. Das entspricht dem Wortlaut des Art 82 DSGVO und verhindert eine „uferlose“ Geltendmachung von Schadenersatzansprüchen durch Betroffene.

Allerdings kommt  es nicht auf eine Erheblichkeit des Schadens an.  Eine „Erheblichkeitsschwelle“ gibt es nicht, diese sieht Artikel 82 DSGVO auch nicht vor. Zu einem Schadenersatz können daher auch „bloße Ängste oder Befürchtungen“ eines von einem Datenschutzvorfall Betroffenen fallen, dass seine Daten durch Dritte missbraucht werden könnten.

Nach Artikel 82 DSGVO sind sowohl materielle Schäden (Körperliche oder Vermögensschäden), als auch immaterielle Schäden (Nichtvermögensschäden) umfasst.

Erwägungsgrund 85 der DSGVO enthält Hinweise zu möglichen Schäden, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person.

Im Zuge zukünftiger Rechtsstreitigkeiten wird es darauf ankommen, ob ein Betroffener nachweist, dass ihm durch die Verletzung des Datenschutzes ein Schaden entstanden ist. Die bloße Behauptung reicht hierzu nicht aus. Gelingt ihm aber der Nachweis, können auch Ängste und Befürchtungen einen entsprechenden Anspruch auslösen. Eine „Erheblichkeitsschwelle“ gibt es nicht, allerdings werden die zugesprochenen Schadenersatzsummen bei geringfügigen Schäden natürlich  niedrig ausfallen,, umgekehrt entsprechend höher.   In dem beschriebenen Rechtsfall hat das Landesarbeitsgericht Düsseldorf einen „Kontrollverlust“ als Schaden ausdrücklich aufgeführt. Allerdings ist die diesbezügliche Begründung des Schadens vor dem Hintergrund, dass dieser ja durch die nicht rechtzeitige Information nach Art. 14 DSGVO verursacht sein müsste, nur sehr kurz ausgefallen. An anderer Stelle weist das Gericht wohl noch darauf hin, dass dem Kläger mangels Information ggf. eine konkrete Stellungnahme versagt geblieben ist, mit möglichen negativen Auswirkungen auf den Bewerberprozess.  Allerdings hatte der beklagte Arbeitgeber geltend machte, es habe darüber hinaus besser geeignete Bewerber gegeben.

Da die Revision zum Bundesarbeitsgericht ausdrücklich zugelassen wurde, kann es gut sein, dass dieser Fall noch einmal vor dem Bundesarbeitsgericht entschieden werden muss.

 

Fazit

Generell sollten sich Unternehmen bewusst sein, dass Verstöße gegen die Vorschriften der DSGVO auch einen Schadenersatzanspruch von Betroffenen auslösen können. Derartige Klagen haben auch zugenommen. Die Umsetzung der Compliance Regelungen der DSGVO ist hier der beste Schutz.

About Cookies

This website uses cookies. Those have two functions: On the one hand they are providing basic functionality for this website. On the other hand they allow us to improve our content for you by saving and analyzing anonymized user data. You can redraw your consent to to using these cookies at any time. Find more information regarding cookies on our Data Protection Declaration and regarding us on the Imprint.
Mandatory

These cookies are needed for a smooth operation of our website.

Name Purpose Lifetime Type Provider
CookieConsent Saves your consent to using cookies. 1 year HTML Website
fe_typo_user Assigns your browser to a session on the server. session HTTP Website
PHPSESSID Temporary cookies which is required by PHP to temporarily store data. session HTTP Website
__cfduid missing translation: trackingobject.__cfduid.desc 30 missing translation: duration.days-session HTTP Cloudflare/ report-uri.com
Statistics

With the help of these statistics cookies we check how visitors interact with our website. The information is collected anonymously.

Name Purpose Lifetime Type Provider
_pk_id Used to store a few details about the user such as the unique visitor ID. 13 months HTML Matomo
_pk_ref Used to store the attribution information, the referrer initially used to visit the website. 6 months HTML Matomo
_pk_ses Short lived cookie used to temporarily store data for the visit. 30 minutes HTML Matomo
_pk_cvar Short lived cookie used to temporarily store data for the visit. 30 minutes HTML Matomo
MATOMO_SESSID Temporary cookies which is set when the Matomo Out-out is used. session HTTP Matomo
_pk_testcookie missing translation: trackingobject._pk_testcookie.desc session HTML Matomo