Wirtschaftsnachrichten für Ärzte | ARZT & WIRTSCHAFT
Datenschutzrecht

Schadensersatz wegen fehlgeleiteter Mail: Die Nebenwirkungen der DSGVO

Ina Reinsch
Bild: HNFOTO - stock.adobe.com

1.000 Euro Schadensersatz musste ein Arbeitgeber zahlen, weil er im Bewerbungsverfahren eine Mail mit personenbezogenen Daten aus Versehen an eine andere Person versandt hatte. Was Praxisinhaber beachten müssen und wie sie sich bei der Neubesetzung von Stellen vor Datenschutzverstößen schützen können.

Fehlgeleitete Mails sind immer ein bisschen peinlich. Umso schlimmer, wenn Dritte dabei auch noch Informationen über einen Bewerber erhalten. Denn seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) hat das gravierende datenschutzrechtliche Folgen und kann für Unternehmen teuer werden.

So auch in einem Fall, in dem sich ein Bewerber über das Portal Xing bei einer Bank um eine Stelle beworben hatte. Diese wollte ihm über Xing antworten, versandte die Nachricht jedoch aus Versehen an einen anderen Nutzer. Dabei ging es inhaltlich nicht nur um Geplänkel. Die Bank bestätigte das Interesse des Bewerbers an der Stelle und ging konkret auf die Gehaltsvorstellungen ein. Als der künftige Arbeitgeber den Fehler bemerkte, schickte er die Antwort noch einmal an den richtigen Empfänger, informierte ihn aber nicht über den Lapsus. Der hatte die Mail inzwischen aber bereits von dem anderen Nutzer erhalten – und war wenig erfreut.

Gericht gab Klage auf Schadensersatz statt

Zunächst ließ er die Sache auf sich beruhen, da er sich Hoffnungen auf die Stelle machte. Erst als die Bewerbung scheiterte, fragte er beim Unternehmen wegen der fehlgeleiteten Mail nach. Er wurde dann auch informiert. Daraufhin machte er vor Gericht wegen Verstoßes gegen die DSGVO einen Anspruch auf Schadensersatz in Höhe von 2.500 Euro geltend. Das Landgericht Darmstadt gab der Klage zum Teil statt (26.05.2020, Az. 13 O 244/19). Durch die Weiterleitung der Nachricht an einen unbeteiligten Dritten habe der Bewerber die Kontrolle darüber verloren, wer Kenntnis von seiner Bewerbung erhielt, heißt es im Urteil. Das hätte erhebliche Nachteile haben können. Etwa wenn sein damaliger Arbeitgeber oder Kollegen davon erfahren hätten. Dieser potenzielle Schaden bedeute ein hohes Risiko für die persönlichen Rechte und Freiheiten des Klägers. Ob tatsächlich ein Schaden entstanden ist, sei nicht maßgeblich. Das Gericht stellte Folgendes klar:

  • Über eine Datenschutzverletzung muss die betroffene Person unmittelbar nach Kenntnis von dem Verstoß vom Verantwortlichen unverzüglich, spätestens innerhalb von 72 Stunden informiert werden,
  • sofern dadurch „ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen“ entstanden ist.

Checkliste:

So gehen Sie datenschutzrechtlich auf Nummer sicher

  • Machen Sie Bewerbungsunterlagen in der Arztpraxis nur denjenigen Personen zugänglich, die mit der Bewerbung notwendigerweise befasst sind.
  • Nach der DSGVO müssen Sie Bewerberdaten löschen und/oder an den Bewerber zurücksenden, sobald die Stelle besetzt ist oder nicht mehr besetzt werden soll. Denn dann ist die Kenntnis der Daten nicht mehr erforderlich.
  •  Beträge jenseits der 110 Euro gelten als steuerpflichtiger Lohn.
  • Bewahren Sie die Unterlagen dennoch zwei bis maximal sechs Monate nach der Absage auf, um sich gegen potenzielle Diskriminierungsvorwürfe wehren zu können.
  • Möchten Sie die Bewerberdaten weiterhin speichern, holen Sie die ausdrückliche schriftliche Einwilligung des Bewerbers ein.