Recht ist bekanntlich biegsam. Regelungen, die vom Grundsatz her vom Gesetzgeber gut gemeint sind, werden deshalb in der Praxis immer wieder dazu verwendet, um andere zu schikanieren oder daraus Profit zu schlagen. Eine neue Tendenz ist dabei, dass abgelehnte Bewerber ihre Ablehnung damit quittieren, dass gegen den potentiellen Arbeitgeber Auskunfts- und Schadensersatzansprüche nach der DSGVO geltend gemacht werden. Dass dies aber nicht ganz so einfach ist, zeigt ein aktuelles Urteil des OLG Frankfurt am Main vom 02.03.2022 (13 U 206/20) in dem die Richter einem Schadensersatzanspruch gestützt auf Art. 82 Abs. 1 DSGVO eine klare Absage erteilt haben.
Nachricht im Bewerbungsverfahren an falschen Empfänger
Der Kläger hatte sich über das Online-Portal Xing bei der Beklagten, einer Privatbank, beworben. Xing ermöglicht es Personen und Unternehmen zu folgen, Reaktionen und Beiträge zu hinterlassen, sowie mediale Inhalte im Text-, Bild- und Videoformat zu veröffentlichen.
Im Rahmen des Bewerbungsprozesses versandte eine Mitarbeiterin der Beklagten über den Messengerdienst von Xing eine für den Kläger bestimmte Nachricht, die allerdings nicht diesen, sondern einen Dritten erreicht hatte. In dieser wurde sinngemäß mitgeteilt, dass man das Profil durchaus interessant finden würde, allerdings die Gehaltsvorstellungen nicht erfüllt werden könnten. Gleichzeitig wurde ein Rahmen genannt, in dem sich ein Gehalt bewegen könnte verbunden mit der Nachfrage, ob auch unter dieser Prämisse die angebotene Stelle für den Kläger noch von Interesse sei.
Zufällig war der Empfänger der Nachricht mit dem Kläger bekannt. Er leitete diese nicht nur an den Kläger weiter, sondern teilte dies auch der Beklagten mit, die sich daraufhin förmlich für den Fehler entschuldigt hatte und diesen bat die Nachricht zu löschen.
Im Rahmen des Bewerbungslaufs nahm der Kläger dann zunächst noch an einem Vorstellungsgespräch teil. Er erwähnte dabei den geschilderten Sachverhalt zunächst nicht. Erst nachdem ihm die Beklagte am 10.12.2018 mitgeteilt hatte, dass sie sich für einen anderen Bewerber entschieden habe, beanstandete er mit E-Mail vom 16.12.2018 eine Datenschutzverletzung und fragte bei der Beklagten an, wie diese damit umzugehen gedenke.
Daraufhin meldete sich beim Kläger ein externer Datenschutzbeauftragter für die Beklagte und wies den Vorwurf eines Datenschutzverstoßes mangels Übermittlung sensibler Daten zurück und erklärte, es habe sich um einen versehentlichen Einzelfall einer Mitarbeiterin gehandelt. Die Mitarbeiter seien im Rahmen einer internen Stellungnahme auf den sorgsamen und verantwortungsbewussten Umgang in der Kommunikation in Berufsnetzwerken hingewiesen worden.
Über seinen Rechtsvertreter verlangte der Kläger nun von der Beklagten die Abgabe einer strafbewehrten Unterlassungs- und Verpflichtungserklärung sowie Schadenersatz in Höhe von 2.500 €.
Unterlassung ja, aber keine Schadenersatz
Während die Richter den Unterlassungsanspruch bejaht haben, haben sie dem Schadensersatzanspruch eine Absage erteilt und zur Begründung ausgeführt:
„Dem Kläger steht kein Anspruch aus Art. 82 DSGVO gegen die Beklagte auf Ersatz des von ihm geltend gemachten immateriellen Schadens im Zusammenhang mit der rechtswidrigen Datenverarbeitung zu.
Nach Art. 82 Abs. 1 DSGVO hat jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde, Art. 82 Abs. 2 Satz 1 DSGVO. Der Verantwortliche oder der Auftragsverarbeiter wird von der Haftung gemäß Absatz 2 befreit, wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist, Art. 82 Abs. 3 DSGVO.
Die Voraussetzungen für einen Geldentschädigungsanspruch in Bezug auf einen dem Kläger zugefügten immateriellen Schaden liegen nach Auffassung des Senats nicht vor, da es jedenfalls an der Darlegung des Eintritts eines Schadens bei dem Kläger fehlt.
Zwar liegt, wie ausgeführt, ein Verstoß durch Übermittlung von personenbezogenen Daten an einen unbeteiligten Dritten vor. Zudem ist das Landgericht auch richtigerweise zusätzlich von einem Verstoß gegen Art. 34 Abs. 1 DSGVO ausgegangen und hat ein durch die Verletzung des Schutzes personenbezogener Daten voraussichtlich hohes Risiko für die persönlichen Rechte und Freiheiten angenommen. Die Information des Klägers über den Datenschutzverstoß erfolgte nicht unverzüglich, sondern erst auf dessen Nachfrage.
Die Frage, ob bereits der Datenschutzverstoß als solcher für das Entstehen eines Schadensersatzanspruchs ausreicht oder es darüber hinaus der Darlegung und des Nachweises eines konkreten (auch: immateriellen) Schadens bedarf, ist in Rechtsprechung und Literatur umstritten (für ein Ausreichen des Eingriffs in das allgemeine Persönlichkeitsrecht: z.B. OLG München, Urteil vom 4.2.2019 – 15 U 3688/18 -, juris, Rn. 19 ff., Ehmann/Selmayr/Nemitz, Datenschutz-Grundverordnung, 2. Aufl., Art. 82 DS-GVO Rn. 11-13; für das Erfordernis eines nachgewiesenen Schadens z.B. LAG Baden-Württemberg, Urt. v. 25.02.2021, 17 Sa 37/20, zit. nach juris, Rn. 96, LG Karlsruhe, Urt. v. 02.08.2019, 8 O 26/19, zit. nach juris, Rn. 19, Ernst, juris PR-ITR 1/2021 Anm. 6 in einer Anmerkung zu dem vorliegend angefochtenen Urteil des Landgerichts Darmstadt v. 26.05.2020, 13 O 244/19, m.w.N.). Insbesondere von den Verfechtern eines Anspruchs ohne Nachweis eines konkreten Schadens wird zudem vertreten, dass die Beeinträchtigung über eine bloße Bagatellverletzung hinausgehen muss (vgl. hierzu die Quellenangaben bei Ernst, a.a.O.).
Sowohl der österreichische Oberste Gerichtshof (Vorabentscheidungsersuchen vom 12.05.2021, ZD 2021, S. 631, wobei der Gerichtshof die Auffassung vertritt, es sei der Nachweis eines Schadens erforderlich) als auch das Bundesarbeitsgericht (Vorabentscheidungsersuchen vom 26.08.2021, 8 AZR 253/20-A, wobei das BAG den Nachweis eines Schadens nicht für notwendig hält) haben die hiermit zusammenhängenden Fragen dem Europäischen Gerichtshof zur Vorabentscheidung vorgelegt.
Der Senat folgt im Ergebnis der Auffassung, wonach über den festgestellten Verstoß gegen die Vorschriften des DSGVO hinaus Voraussetzung für eine Entschädigung in Geld der Nachweis eines konkreten (auch immateriellen) Schadens ist. Hierfür spricht zunächst bereits der Wortlaut von Art. 82 Abs. 1 DSGVO, der über den Verstoß hinaus ausdrücklich die Entstehung eins Schadens („…Schaden entstanden ist“) voraussetzt (Eichelberger, WRP 2021, 159-167; Wybitul/Brams, ZD 2020, 644-646). Hätte der Verordnungsgeber eine nur an den Rechtsverstoß anknüpfende, vom Nachweis eines konkreten Schadens unabhängige Zahlungspflicht anordnen wollen, hätte es demgegenüber nahegelegen, dies – wie z.B. im Luftverkehrsrecht gem. Art. 7 Abs. 1 FluggastrechteVO (EG) 261/2004 – durch Pauschalen zu regeln (Eichelberger, aaO. Rn. 24). In dem Erwägungsgrund 146 S. 3 zu der DSGVO heißt es zwar, dass der Begriff des Schadens im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden soll, die den Zielen der Verordnung in vollem Umfang entspricht. Der Anspruch soll nach Erwägungsgrund 146 S. 6 sicherstellen, dass die betroffenen Personen einen vollständigen und wirksamen Schadensersatz für den erlittenen Schaden erhalten. Das schließt ein, dass Schadensersatzforderungen abschrecken und weitere Verstöße unattraktiv machen sollen. Der Begriff des Schadens in Art. 82 DSGVO ist autonom auszulegen, mithin kommt es nicht darauf an, ob ein bestimmter Schaden nach nationalem Recht als Schaden angesehen werden könnte (Bergt in: Kühling/Buchner, DS-GVO BDSG, 3. Aufl. 2020, Art. 82 Rn. 17; vgl. in diesem Zusammenhang auch: BVerfG 14.1.2021 – 1 BvR 2853/19 – Rn. 20, juris).
Auch hiernach ist der Schaden jedoch nicht mit der zugrundeliegenden Rechtsgutsverletzung gleichzusetzen. Denn ausdrücklich muss der Schaden „erlitten“ werden, woraus folgt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird (LAG Baden-Württemberg, Urte. v. 25.02.2021, 17 Sa 37/20, zit. nach juris, Rn. 96 unter Bezug auf Frenzel in: Paal/Pauly, a.a.O., Art. 82, Rn. 10 und Klein GRUR-Prax 2020, 433). Der bloße Verstoß gegen Bestimmungen der DSGVO reicht daher nicht aus.
Hinzu kommt schließlich, dass weder Art. 82 DSGVO noch dessen Erwägungsgründe einen Hinweis darauf enthalten, dass geringfügige (Bagatellschäden) nicht auszugleichen wären; vielmehr sieht Erwägungsgrund 148 Satz 2 vor, dass lediglich ausnahmsweise bei geringfügigen Verstößen auf die Verhängung einer Geldbuße verzichtet werden kann (LAG Baden-Württemberg, a.a.O. m.w.N.).
Das Erfordernis des Nachweises eines tatsächlich erlittenen Schadens ist daher auch der Sache nach erforderlich, um ein vom Verordnungsgeber nicht gewolltes Ausufern von Schadensersatzforderungen in allen Fällen eines – tatsächlich für den Betroffenen folgenlosen – Datenschutzverstoßes zu vermeiden (so insbesondere auch Ernst, a.a.O.).
Das Vorliegen eines konkreten -immateriellen- Schadens, wozu auch Ängste, Stress sowie Komfort- und Zeiteinbußen zählen (Bergt in: Kühling/Buchner, DS- GVO BDSG, 3. Auflage 2020, Rn. 18 b), hat der Kläger nicht dargetan. Der Vortrag in seinem auf einen entsprechenden Hinweis des Senats eingereichten Schriftsatz vom 11.1.2022 (Bl. 326 ff. d. A.) erschöpft sich in der – erneuten- Darlegung des Datenschutzverstoßes. Insofern führt der Kläger an, dass der Schaden nicht in dem bloßen, abstrakten Kontrollverlust über die offenbarten Daten, sondern in der Tatsache liege, dass nunmehr mindestens eine weitere Person, die den Kläger und potentielle wie ehemalige Arbeitgeber kenne, über Umstände Kenntnis habe, die der Diskretion unterlägen. Zudem empfinde der Kläger das „Unterliegen“ in den Gehaltsverhandlungen als Schmach, die er nicht an Dritte – vor allem nicht an potentiellen Konkurrenten – weitergegeben hätte.
Nähere Ausführungen zu einem Schaden erfolgen klägerseits nicht. Selbst bei Unterstellung einer „Schmach“, vermag der Senat diese nicht als einen immateriellen Schaden zu bewerten. Denn der Kläger hat schon nicht mitgeteilt, welche Größenordnung des Gehaltsrahmens angestrebt, ob die angebotene Summe, die durch variable Anteile ohnehin nicht die Obergrenze bildete und im noch laufenden Bewerbungsverfahren vorläufig war, mit einer Diskreditierung verbunden war.“
