Eine Bank, leitete eine Nachricht im Verlauf eines Bewerbungsverfahrens versehentlich an einen Dritten auf der Plattform XING weiter. Die Nachricht, die für den Bewerber bestimmt war, beinhaltete unter anderem dessen Gehaltsvorstellungen. Dieser klagte sodann auf Schadensersatz. Das Landgericht Darmstadt (Urteil vom 26.05.2020 – 13 O 244/19) verurteilte die Bank zu 1.000,00 € Schadensersatz.
Für die Begründung eines immateriellen Schadensersatzes nach Art. 82 DSGVO reiche grundsätzlich ein hohes Risiko für Rechte und Freiheiten des Betroffenen aus, welches aus der Datenschutzverletzung resultiere.
Ein solches hohes Risiko bestehe dann, wenn zu erwarten sei, dass bei ungehindertem Geschehensablauf mit hoher Wahrscheinlichkeit ein Schaden für die Rechte und Freiheiten des/der Betroffenen eintrete. In einem solchen Fall sei es nicht maßgeblich, ob die Datenschutzverletzung auch zu einen besonders hohen Schadensumfang geführt habe.
In der gegenständlichen unbefugten Übermittlung von personenbezogenen Daten des Bewerbers an einen unberechtigten Dritten habe sich ein voraussichtliches hohes Risiko für die klägerischen persönlichen Rechte und Freiheiten aber gerade manifestiert.
Infolge der Datenübermittlung habe der Bewerber nämlich die Kontrolle darüber verloren, wer Kenntnis davon habe, dass er sich bei der der Bank beworben habe. Diese Informationen seien, so das Gericht, auch dazu geeignet, den Bewerber zu benachteiligen, wenn diese Informationen an etwaige Konkurrenten für einen Arbeitsplatz gelangen, oder gar den Ruf des Bewerbers zu schädigen, wenn z.B. der derzeitige Arbeitgeber des Klägers erfahren hätte, dass sich der Bewerber nach anderweitigen Arbeitsstellen umschaue.
Zwar habe der Bewerber konkrete Nachteile nicht vorgetragen. Dies hindere aber vorliegend einen Schadensersatzanspruch nicht, weil die unberechtigte Entäußerung der sensiblen Informationen abstrakt zur Rufschädigung geeignet sei.
Ausschließlich bei der Höhe des geltend gemachten Schadensersatzes berücksichtigte das Gericht, dass dem Bewerber rein tatsächlich keine beruflichen oder persönlichen Beeinträchtigungen infolge des Datenlecks widerfahren sind.