Der übliche Ablauf von Bewerbungen "Hopper" lässt sich in 4 Schritte aufteilen:
1.1 Die Bewerbung
Wie beim "AGG-Hopping" auch, steht zu Beginn eine Stellenausschreibung des Unternehmens sowie die Bewerbung einer Person auf diese Stelle. Zu diesem Zweck reicht der Bewerber seine Bewerbungsunterlagen ein. Im weiteren Verlauf erhält der Bewerber, wie von vornherein von ihm beabsichtigt, eine Absage.
1.2 Das Auskunftsverlangen des Bewerbers
Was nun folgt, unterscheidet sich vom "AGG-Hopping" und sollte den Arbeitgeber bereits aufmerksam werden lassen: Der Bewerber begehrt nach Art. 15 DSGVO Auskunft darüber, ob und welche Daten zu seiner Person beim Unternehmen verarbeitet werden. Schließlich handelt es sich bei den im Rahmen des Bewerbungsprozesses erlangten Daten um personenbezogene Daten, die dem Schutz der DSGVO unterliegen. Der Arbeitgeber ist nun verpflichtet, diese Auskunft zu erteilen und ist dabei insbesondere an die Frist gemäß Art. 12 DSGVO gebunden.
1.3 Die verspätete Auskunft des Unternehmens
Gemäß Art. 12 Abs. 3 DSGVO muss die Auskunft über die etwaige Datenverarbeitung "unverzüglich, spätestens aber innerhalb eines Monats nach Eingang des Antrags" zur Verfügung gestellt werden.
Das Unternehmen muss nach vorheriger interner Prüfung also entweder die Auskunft erteilen, dass überhaupt keine personenbezogenen Daten verarbeitet werden (sog. Negativauskunft) oder – sofern eine Verarbeitung erfolgt – in welcher Form dies geschieht. Werden Daten verarbeitet, macht Art. 15 Abs. 1 Halbsatz 2 DSGVO detaillierte Vorgaben zum Inhalt der Auskunftserteilung.
Inhalt der Auskunftserteilung
Der Arbeitgeber muss unter anderem die Verarbeitungszwecke der Daten nennen, die Kategorien der personenbezogenen Daten, die geplante Speicherdauer sowie die Empfänger der Daten.
Im Fall des "Datenschutz-Hoppings" spekuliert der Bewerber darauf, dass das Unternehmen diese Auskunft nicht vollständig und/oder nicht innerhalb der Frist des Art. 12 Abs. 3 DSGVO erbringt.
1.4 Der Schadensersatzanspruch des Bewerbers
Im Fall einer unvollständigen oder verspäteten Auskunft macht der Bewerber sodann einen Schadensersatzanspruch gemäß Art. 82 Abs. 1 DSGVO geltend. Danach hat "jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, […] Anspruch auf Schadensersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter".
Hierbei beruft sich der Bewerber regelmäßig auf den Eintritt eines immateriellen Schadens. Dazu führt der Bewerber etwa an, er habe durch die verspätete Auskunft "emotionales Ungemach" in Form von Angst, Sorge oder Unwohlsein erfahren, weil er vor einigen Jahren Opfer eines Hackerangriffs geworden sei und deshalb im Bereich des Datenschutzes sehr sensibel sei.
Höhe des Schadensersatzanspruchs
Als Kriterien für die Bemessung der Höhe des Schadensersatzanspruchs ziehen die Gerichte die Dauer des Verstoßes (also der verspäteten Auskunft), Art und Schwere des Verstoßes, die betroffenen personenbezogenen Kategorien und auch die Finanzkraft des Unternehmens heran.
Dabei ist von besonderer Relevanz, dass ein Schadensersatzanspruch nach Art. 82 DSGVO auch noch geltend gemacht werden kann, wenn die Bewerbung mehrere Jahre zurückliegt – denn Anknüpfungspunkt ist nicht die Bewerbung als solche, sondern Verstöße im Zusammenhang mit der Auskunftserteilung. Anders als im "AGG-Hopping" laufen daher keine Fristen zur außergerichtlichen Schadensgeltendmachung ab der Ablehnung des Bewerbers bzw. zur gerichtlichen Geltendmachung.