Zusammenfassung
"Hopper" waren im Arbeitsrecht bislang nur im Bereich der Gleichbehandlung ein Thema. "AGG-Hopper" meint Personen, die sich ohne ernstliche Absichten auf Arbeitsstellen bewerben, um wegen vermuteter Diskriminierung durch den Arbeitgeber später Entschädigung nach § 15 AGG verlangen zu können. Einen solchen "AGG-Hopper" zu erkennen, richtig zu reagieren und sogar im möglichen arbeitsgerichtlichen Prozess zu "überführen", verlangt den Unternehmern viel Zeit und Mühe ab. Wenn eine Person in einem Verfahren aber als "AGG-Hopper" identifiziert wird, ist das ein berechtigter Einwand gegen eine Zahlungsforderung, d. h. der Arbeitgeber ist trotz etwaiger Diskriminierung aufgrund des rechtsmissbräuchlichen Verhaltens des Bewerbers nicht zum Schadensersatz oder einer Entschädigung verpflichtet. Jüngste Entscheidungen in der Rechtsprechung deuten darauf hin, dass Arbeitgebern ein ähnliches Phänomen nun im Bereich des Datenschutzes droht – das Thema wird Arbeitgeber und Gerichte in Zukunft wohl vermehrt beschäftigen. Was genau unter "Datenschutz-Hopping" im Bewerbungsverfahren zu verstehen ist und worauf Unternehmen zu achten haben, ist Gegenstand dieses Beitrags.
1 Ablauf eines klassischen "Datenschutz-Hoppings"
Der übliche Ablauf von Bewerbungen "Hopper" lässt sich in 4 Schritte aufteilen:
1.1 Die Bewerbung
Wie beim "AGG-Hopping" auch, steht zu Beginn eine Stellenausschreibung des Unternehmens sowie die Bewerbung einer Person auf diese Stelle. Zu diesem Zweck reicht der Bewerber seine Bewerbungsunterlagen ein. Im weiteren Verlauf erhält der Bewerber, wie von vornherein von ihm beabsichtigt, eine Absage.
1.2 Das Auskunftsverlangen des Bewerbers
Was nun folgt, unterscheidet sich vom "AGG-Hopping" und sollte den Arbeitgeber bereits aufmerksam werden lassen: Der Bewerber begehrt nach Art. 15 DSGVO Auskunft darüber, ob und welche Daten zu seiner Person beim Unternehmen verarbeitet werden. Schließlich handelt es sich bei den im Rahmen des Bewerbungsprozesses erlangten Daten um personenbezogene Daten, die dem Schutz der DSGVO unterliegen. Der Arbeitgeber ist nun verpflichtet, diese Auskunft zu erteilen und ist dabei insbesondere an die Frist gemäß Art. 12 DSGVO gebunden.
1.3 Die verspätete Auskunft des Unternehmens
Gemäß Art. 12 Abs. 3 DSGVO muss die Auskunft über die etwaige Datenverarbeitung "unverzüglich, spätestens aber innerhalb eines Monats nach Eingang des Antrags" zur Verfügung gestellt werden.
Das Unternehmen muss nach vorheriger interner Prüfung also entweder die Auskunft erteilen, dass überhaupt keine personenbezogenen Daten verarbeitet werden (sog. Negativauskunft) oder – sofern eine Verarbeitung erfolgt – in welcher Form dies geschieht. Werden Daten verarbeitet, macht Art. 15 Abs. 1 Halbsatz 2 DSGVO detaillierte Vorgaben zum Inhalt der Auskunftserteilung.
Inhalt der Auskunftserteilung
Der Arbeitgeber muss unter anderem die Verarbeitungszwecke der Daten nennen, die Kategorien der personenbezogenen Daten, die geplante Speicherdauer sowie die Empfänger der Daten.
Im Fall des "Datenschutz-Hoppings" spekuliert der Bewerber darauf, dass das Unternehmen diese Auskunft nicht vollständig und/oder nicht innerhalb der Frist des Art. 12 Abs. 3 DSGVO erbringt.
1.4 Der Schadensersatzanspruch des Bewerbers
Im Fall einer unvollständigen oder verspäteten Auskunft macht der Bewerber sodann einen Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO geltend. Danach hat "jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, […] Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter".
Hierbei beruft sich der Bewerber regelmäßig auf den Eintritt eines immateriellen Schadens. Dazu führt der Bewerber etwa an, er habe durch die verspätete Auskunft "emotionales Ungemach" in Form von Angst, Sorge oder Unwohlsein erfahren, weil er vor einigen Jahren Opfer eines Hackerangriffs geworden sei und deshalb im Bereich des Datenschutzes sehr sensibel sei.
Höhe des Schadensersatzanspruchs
Als Kriterien für die Bemessung der Höhe des Schadensersatzanspruchs ziehen die Gerichte die Dauer des Verstoßes (also der verspäteten Auskunft), Art und Schwere des Verstoßes, die betroffenen personenbezogenen Kategorien und auch die Finanzkraft des Unternehmens heran.
Dabei ist von besonderer Relevanz, dass ein Schadensersatzanspruch nach Art. 82 DSGVO auch noch geltend gemacht werden kann, wenn die Bewerbung mehrere Jahre zurückliegt – denn Anknüpfungspunkt ist nicht die Bewerbung als solche, sondern Verstöße im Zusammenhang mit der Auskunftserteilung. Anders als im "AGG-Hopping" laufen daher keine Fristen zur außergerichtlichen Schadensgeltendmachung ab der Ablehnung des Bewerbers bzw. zur gerichtlichen Geltendmachung.
2 Empfohlenes Vorgehen für Unternehmen
Sofern Arbeitgeber eine Anfrage gemäß Art. 15 DSGVO erreicht, sind mehrere Aspekte zu berücksichtigen.
Vermeiden von Schadensersatzansprüchen
Unternehmen ist zu raten, eine funktionierende Organisationsstruktur mit gut dokumentierte...