OLG Frankfurt a.M.: Kein DSGVO-Schadensersatz bei irrtümliche Datenweiterleitung an Dritten

Leitet ein Unternehmen die Daten eines Bewerbers irrtümlich an einen Dritten weiter und informiert nicht unverzüglich über diesen Rechtsverstoß, so hat der Betroffene keinen DSGVO-Schadensersatz-Anspruch, wenn er hierdurch keine tatsächlichen Nachteile erleidet (OLG Frankfurt a.M., Beschl. v. 02.02.2022 - Az.: 13 U 206/20).

Der Kläger bewarb sich bei der verklagten Bank als neuer Mitarbeiter. Der Bewerbungsprozess erfolgte über das Portal XING.

Die Beklagte leitete irrtümlich eine Nachricht, die für den Kläger bestimmt war, an einen Dritten bei XING. In der Nachricht hieß es:

"Lieber Herr (...), ich hoffe es geht Ihnen gut! Unser Leiter - Herr (...) - findet ihr (…) Profil sehr interessant. Jedoch können wir ihre Gehaltsvorstellungen nicht erfüllen. Er kann 80k + variable Vergütung anbieten. Wäre das unter diesen Gesichtspunkten weiterhin für Sie interessant? Ich freue mich von Ihnen zu hören und wünsche Ihnen einen guten Start in den Dienstag. Viele Grüße,"

Der Kläger rügte diesen Fehler nicht weiter, sondern führte den Bewerbungsprozess erst einmal weiter fort. Die Beklagte selbst informierte den Kläger erst Monate später über die fehlerhafte Weiterleitung. Erst als er von der Beklagten abgelehnt wurde, machte er u.a. einen Schadensersatzanspruch geltend.

In der 1. Instanz bekam der Kläger einen DSGVO-Schadensersatz iHv. 1.000,- EUR zugesprochen (LG Darmstadt, Urt. v. 26.05.2020 - Az.: 13 O 244/19).

Diese Entscheidung ist nun vom OLG Frankfurt a.M. in der Berufungsinstanz aufgehoben worden.

Es liege zwar eine Datenschutzverletzung vor. Jedoch stünde dem Kläger kein finanzieller Ausgleichsanspruch zu, denn es fehle der konkrete Schaden:

"Der Senat folgt (...) der Auffassung, wonach über den festgestellten Verstoß gegen die Vorschriften des DS-GVO hinaus Voraussetzung für eine Entschädigung in Geld der Nachweis eines konkreten (auch immateriellen) Schadens ist. (...)

Auch hiernach ist der Schaden jedoch nicht mit der zugrunde liegenden Rechtsgutsverletzung gleichzusetzen. Denn ausdrücklich muss der Schaden „erlitten“ werden, woraus folgt, dass dieser tatsächlich entstanden sein muss und nicht lediglich befürchtet wird (...).

Das Erfordernis des Nachweises eines tatsächlich erlittenen Schadens ist daher auch der Sache nach erforderlich, um ein vom Verordnungsgeber nicht gewolltes Ausufern von Schadensersatzforderungen in allen Fällen eines - tatsächlich für den Betroffenen folgenlosen - Datenschutzverstoßes zu vermeiden (...)."

Und weiter:

"Das Vorliegen eines konkreten - immateriellen - Schadens, wozu auch Ängste, Stress sowie Komfort- und Zeiteinbußen zählen (...), hat der Kläger nicht dargetan. Der Vortrag in seinem auf einen entsprechenden Hinweis des Senats eingereichten Schriftsatz vom 11.1.2022 (...) erschöpft sich in der - erneuten - Darlegung des Datenschutzverstoßes. 

Insofern führt der Kläger an, dass der Schaden nicht in dem bloßen, abstrakten Kontrollverlust über die offenbarten Daten, sondern in der Tat­sache liege, dass nunmehr mindestens eine weitere Person, die den Kläger und potentielle wie ehemalige Arbeitgeber kenne, über Umstände Kenntnis habe, die der Diskretion unterlägen. Zudem empfinde der Kläger das „Unterliegen in den Ge­haltsverhandlungen als Schmach, die er nicht an Dritte - vor allem nicht an potenti­ellen Konkurrenten - weitergegeben hätte.

Nähere Ausführungen zu einem Schaden erfolgen klägerseits nicht. Selbst bei Unterstellung einer „Schmach“, vermag der Senat diese nicht als einen immateriellen Schaden zu  bewerten. Denn der Kläger hat schon nicht mitgeteilt, welche Größenordnung des Gehaltsrahmens angestrebt, ob die angebotene Summe, die durch variable Anteile ohnehin nicht die Obergrenze bildete und im noch laufenden Bewerbungsverfahren vorläufig war, mit einer Diskreditierung verbunden war."

Die Entscheidung ist nicht rechtskräftig, die Revision wurde zugelassen.