Bewerbung über XING: Kein Schadensersatz bei irrtümlicher Datenweiterleitung an Dritten

Arbeitnehmer & Auszubildende 11. Juli 2022
Renan / stock.adobe.com
Leitet ein Unternehmen Bewerberdaten irrtümlich an einen Dritten weiter und informiert nicht unverzüglich über diesen Rechtsverstoß, hat der Betroffene keinen Schadensersatz-Anspruch, wenn er hierdurch keinen tatsächlichen Schaden erleidet.

Ein Mann bewarb sich bei einer Bank über das Portal XING. Die Bank leitete irrtümlich eine Nachricht, die für den Bewerber bestimmt war, an einen Dritten bei XING weiter. Darin hieß es:

»Lieber Herr (...), ich hoffe es geht Ihnen gut! Unser Leiter – Herr (...) – findet Ihr (…) Profil sehr interessant. Jedoch können wir Ihre Gehaltsvorstellungen nicht erfüllen. Er kann 80k + variable Vergütung anbieten. Wäre das unter diesen Gesichtspunkten weiterhin für Sie interessant? Ich freue mich von Ihnen zu hören und wünsche Ihnen einen guten Start in den Dienstag. Viele Grüße, (…)«

Die Bank informierte ihn erst Monate später über die fehlerhafte Weiterleitung. Als seine Bewerbung abgelehnt wurde, machte der Mann Schadensersatz geltend. Er berief sich auf einen Verstoß gegen die Datenschutz-Grundverordnung (DSGVO).

In erster Instanz erhielt er Schadensersatz in Höhe von € 1.000,– vor dem Landgericht Darmstadt zugesprochen. Das Oberlandesgericht Frankfurt/Main hob diese Entscheidung jedoch auf.

Es liegt zwar eine Datenschutzverletzung vor. Denn Name, Geschlecht, die Tatsache des laufenden Bewerbungsverfahrens und die Gehaltsvorstellung des Bewerbers sind als personenbezogene Daten anzusehen. Die Bank hat diese Bewerberdaten irrtümlich an einen Dritten weitergeleitet und den Betroffenen nicht unverzüglich über diesen Rechtsverstoß informiert.

Aber es fehlt am konkreten materiellen oder immateriellen Schaden (z.B. Ängste, Stress, Komfort- oder Zeiteinbußen). Der bloße Verstoß gegen Bestimmungen der DSGVO reicht dabei aber nicht aus. Rechtsverstoß und Schaden sind nicht gleichzusetzen. Denn nach dem ausdrücklichen Wortlaut der DSGVO muss ein Schaden »erlitten« werden. Daraus folgt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet werden darf.

Einen konkreten Schaden hat der Bewerber aber nicht dargelegt. Die bloße Behauptung, der Schaden liege in der Tatsache, dass mindestens eine weitere Person über Umstände Kenntnis habe, die der Diskretion unterliegen, reicht nicht aus. Darin liege eine »Schmach«. Der Dritte wisse nun, er habe seine Gehaltsvorstellung nicht realisieren können.

Selbst wenn man unterstellt, darin liege eine Schmach, ist diese nicht als immaterieller Schaden zu bewerten. Allein aus der Formulierung zur Gehaltsverhandlung lässt sich keine Diskreditierung ableiten (hier: »Er kann 80k + variable Vergütung anbieten«).

Folge: Der abgelehnte Bewerber hat keinen Schadensersatzanspruch im Zusammenhang mit der rechtswidrigen Datenverarbeitung (Art. 82 DSGVO).

OLG Frankfurt/Main, Urteil vom 2.3.2022, 13 U 206/20; n. rk.