Landet eine E-Mail bei einem falschen Adressaten im Postfach, ist das nicht nur ärgerlich, sondern kann auch teuer werden. Das erfuhr eine Bank, der ein solcher Fehler unterlaufen war. Sie hatte eine E-Mail mit vertraulichen personenbezogenen Daten versehentlich an einen unbeteiligten Dritten gesendet. Wegen Verstoßes gegen die Datenschutzgrundverordnung (DSGVO) muss die Bank ein Bußgeld in Höhe von 1.000 Euro zahlen, entschied das LG Darmstadt mit Urteil vom 26. Mai 2020 (Az.: 13 O 244/19).
E-Mail landet bei unbeteiligtem Dritten
Dem Fall lag ein Bewerbungsverfahren zu Grunde. Der spätere Kläger hatte sich über ein Internetportal bei der Bank um eine Stelle beworben. Deren Antwort-Mail landete allerdings nicht beim Bewerber, sondern bei einem unbeteiligten Dritten. Inhalt waren nicht nur persönliche Daten und das Interesse des Bewerbers an der Stelle, sondern auch seine Gehaltsvorstellungen. Erst als die Bank ihren Fehler bemerkte, schickte sie ihre E-Mail auch an den Bewerber. Dass sie die Mail versehentlich auch an einen Dritten geschickt hatte, erwähnte die Bank nicht. Allerdings hatte der Dritte, der zufällig mit dem Bewerber bekannt war, die Nachricht der Bank schon an diesen weitergeleitet.
Der Bewerber unternahm zunächst nichts. Erst als seine Bewerbung gescheitert war, rügte er die Fehlversendung der E-Mail durch die Bank und dass er darüber nicht unverzüglich informiert worden war. Wegen Verstoßes gegen die DSGVO machte er Schadensersatz in Höhe von 2.500 Euro geltend.
Schaden durch Verletzung des Datenschutzrechts
Seine Klage hatte weitgehend Erfolg. Das LG Darmstadt sprach ihm Schadenersatz zu, hielt aber eine Höhe von 1.000 Euro für angemessen.
Dem Kläger sei durch die Verletzung des Datenschutzrechts ein hohes Risiko für seine persönlichen Rechte und Freiheiten entstanden. Deshalb hätte der Kläger gemäß Art. 34 DSGVO unverzüglich benachrichtigt werden müssen. Durch die Versendung der Nachricht an einen unbeteiligten Dritten sei bereits ein Schaden eingetreten. Denn dadurch seien persönliche, berufliche Informationen an einen unbeteiligten Dritten geleitet worden. Dadurch habe der Kläger die Kontrolle darüber verloren, wer Kenntnis von seiner Bewerbung hat, führte das Gericht aus. Dem Kläger hätte ein Nachteil entstehen können, wenn diese Informationen an etwaige Konkurrenten um einen Arbeitsplatz gegangen wären oder wenn sein Arbeitgeber von der Bewerbung erfahren hätte.
Verstoß gegen Benachrichtigungspflicht
Darüber hinaus habe die Bank insbesondere gegen ihre Benachrichtigungspflicht verstoßen, führte das LG Darmstadt weiter aus. Sie hätte den Kläger unverzüglich, also ohne schuldhaftes Zögern, darüber informieren müssen, dass sie die E-Mail versehentlich an einen falschen Adressaten geschickt hat. Diese Mitteilung sei erst erfolgt, nachdem die Bank schon knapp zwei Monate Kenntnis von der fehlgeleiteten E-Mail hatte.
Immaterieller Schaden für den Kläger
Durch die Weitersendung der Daten an unbeteiligte Dritte sei dem Kläger ein immaterieller Schaden entstanden. Insbesondere sei die Schwelle der Erheblichkeit überschritten, weil hierdurch eine Außenwirkung eingetreten sei.
Diese Informationen seien geeignet den Ruf des Klägers oder sein berufliches Fortkommen zu schädigen, so das Gericht. Da die Daten nicht noch an weitere unbeteiligte Personen geschickt wurden und der Kläger tatsächlich keine persönlichen oder beruflichen Beeinträchtigungen erlitten hat, sei ein Schmerzensgeld in Höhe von 1.000 Euro angemessen, urteilte das LG Darmstadt.
Das Urteil ist noch nicht rechtskräftig. Vor dem OLG Frankfurt ist unter dem Az. 13 U 206/20 die Berufung anhängig.
Nach dem Urteil des LG Darmstadt ist es für Schadenersatzansprüche wegen eines Verstoßes gegen die DSGVO nicht nötig, dass bereits konkrete Nachteile eingetreten sind. Für das Vorliegen eines (immateriellen) Schadens reicht die abstrakte Eignung zur Schädigung aus.