Bild: olrat / shutterstock.com

Vertrauliche Bewerbungsdaten – plötzlich in fremden Händen

Ein Jobbewerber bei der Berliner Quirin Privatbank staunte nicht schlecht: Eine interne Nachricht über seine Gehaltsverhandlungen landete versehentlich bei einem Bekannten – und zwar über den Messenger-Dienst eines Karrierenetzwerks.

Die Mitteilung enthielt Details wie die Ablehnung seiner Gehaltsvorstellungen und ein Gegenangebot der Bank. Eigentlich war sie streng vertraulich, doch eine Mitarbeiterin verschickte sie an die falsche Person. Der Dritte leitete die Info prompt an den Bewerber weiter.

Für den Bewerber war das ein schwerer Schlag. Er befürchtete, dass diese heiklen Details in seiner Branche die Runde machen könnten, und fühlte sich bloßgestellt. Er zog vor Gericht – und bekam nun vor dem Europäischen Gerichtshof (EuGH) Rückenwind.

Gefühle zählen – nicht nur finanzielle Schäden

Der EuGH entschied: Auch immaterielle Schäden wie Sorgen, Ärger oder das Gefühl, die Kontrolle über die eigenen Daten verloren zu haben, können einen Entschädigungsanspruch auslösen (Rs. C-655/23).

Heißt konkret: Wer durch ein Datenleck seelisch belastet ist, hat Anspruch auf Schmerzensgeld – auch wenn kein konkreter finanzieller Verlust vorliegt. Bei der Höhe der Entschädigung spielt es dann auch keine Rolle, ob die Bank grob fahrlässig oder „nur“ unachtsam gehandelt hat. Schon ein einfacher Verstoß reicht. Und auch der Umstand, dass ein Gericht der Bank bereits untersagt hat, weitere Verstöße zu begehen, schmälert den Anspruch auf Schmerzensgeld nicht.

Unterlassung nicht automatisch auf EU-Ebene

Spannend ist auch, was der EuGH zur Frage der Unterlassung gesagt hat: Einen europaweiten Anspruch, zukünftige Datenverstöße zu verhindern, gibt es nicht automatisch. Allerdings können die Mitgliedsstaaten – wie etwa Deutschland – in ihrem nationalen Recht solche Möglichkeiten ausdrücklich vorsehen.

Juristen wundert das: In älteren Entscheidungen, etwa rund um Google, hatte der EuGH Unterlassungsansprüche noch bejaht.

Datenschützer jubeln, Unternehmen zittern

Mit diesem Urteil macht der EuGH die Tür für Schadensersatz weit auf. Für Betroffene ist das ein starkes Signal: Es reicht, glaubhaft darzulegen, dass man durch ein Datenleck Sorgen oder Demütigungen erlitten hat. Für Banken, Arbeitgeber und Unternehmen dagegen bedeutet das: Das Risiko teurer Klagen steigt deutlich.

Die Botschaft ist klar: Datenschutz ist kein Nebenthema mehr, sondern ein Kernrecht. Wer die Kontrolle über persönliche Daten verliert, kann künftig nicht nur Löschung verlangen, sondern auch Geld. Für Arbeitgeber und Firmen heißt es jetzt noch mehr als bisher – Sorgfalt statt Schlamperei. Wer Daten versehentlich offenlegt, bezahlt am Ende doppelt: mit Reputationsschaden und echtem Geld.