Landesarbeitsgericht Düsseldorf, 12 Sa 1007/23, Urteil vom 10.04.2024
Einen interessanten Fall, der so nur das Leben schreiben kann, hat kürzlich das Landesarbeitsgericht Düsseldorf entschieden. Dieser Fall betrifft eine Vielzahl von interessanten Aspekten aus dem Bereich Datenschutz allgemein und dem Arbeitnehmerdatenschutz.
Vorab lässt sich folgendes feststellen:
- „Googeln“ kann teuer werden
- Eine unvollständige Datenschutzinformation im Rahmen eines Bewerbungsprozesses kann zu einem Schadenersatzanspruchs des Bewerbers führen.
Worum ging es?
Ein Bewerber bewarb sich bei einer Universität auf eine Volljuristenstelle. Dabei hatte ein Mitglied der Auswahlkommission Informationen, dass der Bewerber in der Vergangenheit bereits mehrfach Entschädigungsverlangen nach dem AGG geltend gemacht hatte.
Im Rahmen einer folgenden Google-Recherche stieß die Auswahlkommission auf einen Wikipedia-Eintrag, woraus hervor ging, dass der Bewerber erstinstanzlich, allerdings nicht rechtskräftig, wegen gewerbsmäßigen Betruges zu einer Freiheitsstrafe von einem Jahr und 4 Monaten auf Bewährung verurteilt wurde. Der Vorwurf lautete, er habe vielfach fingierte Bewerbungen eingereicht, um potenzielle Arbeitgeber anschließend wegen angeblicher Diskriminierung zur Zahlung von Entschädigungen (nach AGG) zu veranlassen. Dieses Phänomen ist allgemein als „AGG Hopping“ bekannt. Die entsprechenden Informationen aus dem Wikipedia Eintrag wurden seitens der Auswahlkommission dokumentiert und in den Bewerbungsprozess mit einbezogen.
Der Bewerber wurde abgelehnt, woraufhin dieser klagte und verschiedene Ansprüche auf Entschädigung, unter anderem nach dem AGG und der der DSGVO geltend machte.
Zugesprochen wurde dem Kläger letztlich eine Entschädigung nach Artikel 82 DSGVO in Höhe von 1.000,00 € wegen eines Schadens aus der Verletzung von Informationspflichten.
Rechtlicher Hintergrund
Nach Artikel 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz. Ein Verstoß hat das Gericht darin gesehen, dass der Kläger (Bewerber) nicht ordnungsgemäß entsprechend Artikel 14 Abs. 1 d) DSGVO bezüglich der Verarbeitung seiner personenbezogenen Daten informiert wurde. Konkret betraf dies die Beiziehung der Google-Informationen über die nicht rechtskräftige Verurteilung in den Bewerbungsprozess.
Hierdurch sei dem Kläger, so dass Gericht auch ein Schaden entstanden. Denn der Kläger sei aufgrund der fehlenden Information zu einem „bloßen Objekt“ der Datenverarbeitung gemacht worden und habe einen „Kontrollverlust“ bezüglich der Verwendung seiner Daten erlitten.
Artikel 13 und 14 DSGVO betreffen die Informationspflichten. Hiernach muss der Verantwortliche, der Daten über bestimmte natürliche Personen verarbeitet, transparent und unter Einhaltung der in den Artikeln beschriebenen Kriterien diese über die Verarbeitung der Daten informieren. Zunächst hat jeder Bewerber ein Recht auf eine Datenschutzinformation nach Artikel 13 Abs. 1 DSGVO. Diese wird im Bewerbungsprozess regelmäßig entweder im Zuge eines Online-Verfahrens direkt verknüpft oder ggf. unverzüglich nach Eingang dem Bewerbung zugänglich gemacht.
Sofern im weiteren Auswahlverfahren neben den bereits vorhanden Bewerbungsunterlagen noch eigene, weitere Informationen, wie hier über das Internet durch den Arbeitgeber über den Bewerber erhoben und berücksichtigt werden, besteht die Verpflichtung auch hierüber zu informieren. Artikel 14 DSGVO besagt, dass der Verantwortliche über Informationen, die er nicht durch den Betroffenen selbst (hier der Bewerber/Kläger) erhalten hat, spätestens innerhalb von einem Monat zu informieren hat.
Das hatte der Beklagte Arbeitgeber nicht getan. Im vorliegenden Fall hätte der Bewerber über die Recherche und die dort eingeholten Informationen und deren Verwendung, insbesondere auch das Strafverfahren betreffend, informiert werden müssen.
Was sollten Unternehmen beachten?
Generell bietet das Urteil Anlass noch einmal auf einige grundsätzliche Aspekte der Recherche im Internet bei Bewerbungsprozessen hinzuweisen. Personalverantwortliche sollten genau überlegen, ob und in welchem Umfang eine Internetrecherche durchgeführt werden soll.
Die Recherche in spezifischen Berufsportalen, wie LinkedIn oder Xing, auf denen der Bewerber bewusst Informationen auch für potentielle Interessenten eingestellt hat, ist natürlich zulässig. Dagegen ist die Recherche in nicht öffentlichen Profilen in sozialen Netzwerken grundsätzlich tabu. Auch im Übrigen ist eher Zurückhaltung geboten, da die Persönlichkeitsrechte des Bewerbers immer zu berücksichtigen sind.
Rechtlich kommt es darauf an, ob die Einholung weiterer Informationen bezüglich der Entscheidung für oder gegen einen Bewerber erforderlich ist. (6 Abs. 1 b DSGVO, § 26 Abs. 1 BDSG). Im vorliegenden Fall hatte das Gericht die Erforderlichkeit bejaht, da die Information über eine strafrechtliche Verurteilung angesichts der ausgeschriebenen Stelle als Volljurist von erheblicher Bedeutung gewesen sei und die Auswahlkommission auch Anhaltspunkte für AGG-Klagen bezüglich des Bewerbers hatte, die zu dieser Recherche geführt haben.
Problematisch kann eine Recherche in Suchmaschinen ohne konkreten Anlass sozusagen „ins Blaue hinein“ sein, denn diese kann ohne entsprechende Anhaltspunkte nicht als erforderlich erachtet werden. Ggf. sollte man zusätzliche Informationen besser direkt beim Bewerber erfragen.
Sollte man sich aber dafür entscheiden zusätzliche Informationen aus anderen Quellen, wie Suchmaschinen einzuholen und im Bewerberprozess zu verwenden, ist unbedingt an die nachträgliche Informationspflicht nach Artikel 14 DSGVO zu denken.
Was kann man hieraus weiter mitnehmen?
Werden die Vorschriften der DSGVO nicht eingehalten, kann dies nach Artikel 82 DSGVO zu einem Schadenersatz führen. Dies gilt im vorliegenden Fall sogar aufgrund einer fehlenden Datenschutzinformation.
Ausblick auf die derzeitige aktuelle Rechtsprechung
Innerhalb der Instanzgerichte, die über Ansprüche nach Artikel 82 DSGVO zu entscheiden hatten, gab es bei der Auslegung der DSGVO eine Reihe von Rechtsfragen, die dem Europäischen Gerichtshof (EuGH) vorgelegt wurden. Hiervon sind zwei wesentliche Punkte nunmehr durch den EUGH geklärt worden.
Geklärt ist nunmehr, dass nicht jeder Verstoß gegen die DSGVO zu einem Schadenersatzanspruch führt. Vielmehr muss dem Betroffenen auch tatsächlich ein Schaden entstanden sein, den er auch nachweisen muss. Das entspricht dem Wortlaut des Art 82 DSGVO und verhindert eine „uferlose“ Geltendmachung von Schadenersatzansprüchen durch Betroffene.
Allerdings kommt es nicht auf eine Erheblichkeit des Schadens an. Eine „Erheblichkeitsschwelle“ gibt es nicht, diese sieht Artikel 82 DSGVO auch nicht vor. Zu einem Schadenersatz können daher auch „bloße Ängste oder Befürchtungen“ eines von einem Datenschutzvorfall Betroffenen fallen, dass seine Daten durch Dritte missbraucht werden könnten.
Nach Artikel 82 DSGVO sind sowohl materielle Schäden (Körperliche oder Vermögensschäden), als auch immaterielle Schäden (Nichtvermögensschäden) umfasst.
Erwägungsgrund 85 der DSGVO enthält Hinweise zu möglichen Schäden, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person.
Im Zuge zukünftiger Rechtsstreitigkeiten wird es darauf ankommen, ob ein Betroffener nachweist, dass ihm durch die Verletzung des Datenschutzes ein Schaden entstanden ist. Die bloße Behauptung reicht hierzu nicht aus. Gelingt ihm aber der Nachweis, können auch Ängste und Befürchtungen einen entsprechenden Anspruch auslösen. Eine „Erheblichkeitsschwelle“ gibt es nicht, allerdings werden die zugesprochenen Schadenersatzsummen bei geringfügigen Schäden natürlich niedrig ausfallen,, umgekehrt entsprechend höher. In dem beschriebenen Rechtsfall hat das Landesarbeitsgericht Düsseldorf einen „Kontrollverlust“ als Schaden ausdrücklich aufgeführt. Allerdings ist die diesbezügliche Begründung des Schadens vor dem Hintergrund, dass dieser ja durch die nicht rechtzeitige Information nach Art. 14 DSGVO verursacht sein müsste, nur sehr kurz ausgefallen. An anderer Stelle weist das Gericht wohl noch darauf hin, dass dem Kläger mangels Information ggf. eine konkrete Stellungnahme versagt geblieben ist, mit möglichen negativen Auswirkungen auf den Bewerberprozess. Allerdings hatte der beklagte Arbeitgeber geltend machte, es habe darüber hinaus besser geeignete Bewerber gegeben.
Da die Revision zum Bundesarbeitsgericht ausdrücklich zugelassen wurde, kann es gut sein, dass dieser Fall noch einmal vor dem Bundesarbeitsgericht entschieden werden muss.
Fazit
Generell sollten sich Unternehmen bewusst sein, dass Verstöße gegen die Vorschriften der DSGVO auch einen Schadenersatzanspruch von Betroffenen auslösen können. Derartige Klagen haben auch zugenommen. Die Umsetzung der Compliance Regelungen der DSGVO ist hier der beste Schutz.