Auch im sechsten Teil der Serie "Schaden des Monats" (hier geht es zu Teil 1, Teil 2, Teil 3, Teil 4 und Teil 5) erhalten die Leser:innen Einblicke in einen spannenden Fall des Spezialversicherers Allcura Versicherungsaktiengesellschaft. Derartige Fälle könnten jede:n einmal selbst treffen und bei denen trotzdem vielleicht nicht jede:r schon ausreichend abgesichert ist.
Fall 6
Unser Versicherungsnehmer ist Unternehmer, als er vor zehn Jahren den Betrieb aufnahm, war er mit einer kleinen 5-Mann-Truppe gestartet. Heute hat er bereits 47 Mitarbeiter:innen in drei Niederlassungen. Das Geschäft läuft bestens und so möchte er weiter ausbauen.
Er gründet eine Niederlassung in Innsbruck und hat hierfür auch bereits einen Geschäftsführer, Herrn G, gewinnen können. Herr G ist noch bis März 2023 bei seinem alten Arbeitgeber beschäftigt und wird ab 1. April 2023 dann die neue Niederlassung leiten. Hierfür steht er in engem Austausch mit unserem Versicherungsnehmer und ist daran beteiligt, sich sein eigenes Team für die dortige Niederlassung zusammenzustellen. Eine Bewerberin, Frau T., scheint vielversprechend und somit soll sie zum Bewerbungsgespräch eingeladen werden. Alles scheint zu passen und man wird sich auch schnell einig. Es wird vereinbart, dass der Bewerberin der neue Dienstvertrag in den kommenden Tagen zugeht. Um auch den neuen Vorgesetzten zu informieren, versendet die Mitarbeiterin unseres Versicherungsnehmers am 3. März 2023 die Mail mit dem (zu unterzeichnenden) Dienstvertrag an die Bewerberin und nimmt auf cc die private Mailadresse der Herrn G (@icloud.com), da dieser ja noch nicht über eine Firmenadresse verfügt.
Am 4. März 2023 schickt Frau T. den unterzeichneten Dienstvertrag zurück, teilt aber mit, dass sie dem Versenden ihrer personenbezogenen Daten an eine private E-Mail-Adresse nicht zugestimmt hat. Sie teilt weiter mit, dass dieser datenschutzrechtliche Verstoß beseitigt werden muss, bevor sie den Dienst zum 1. Mai 2023 beginnen kann und will.
Unser Versicherungsnehmer entschuldigt sich und erklärt Frau T, weshalb die private Adresse enthalten war. Er geht zunächst davon aus, dass sich das Problem so erledigt hat. Kurze Zeit später zieht Frau T vor Gericht, verklagt unseren Versicherungsnehmer auf Schadenersatz iHv. 17.900 Euro aus Datenschutzverstößen im Bewerbungsprozess. Sie teilt außerdem mit, dass sie den Dienst dort nicht antreten wird. Unser Versicherungsnehmer ist entsetzt über das Ausmaß dieser Entwicklung und bittet uns um Hilfe.
Immer häufiger verirren sich unsere Versicherungsnehmer im DSGVO-Dschungel und dann kann es sehr hilfreich sein, einen Begleiter an die Hand zu bekommen: Welche Forderungen können den Versicherungsnehmer treffen? Betroffene Personen dürfen grundsätzlich jedem Unternehmen gegenüber ihr Recht auf Auskunft oder Löschung ausüben. Sie müssen dies aber nicht zwingend tun, sondern können sofort eine Anzeige bei der Datenschutzbehörde einbringen, wenn sie eine Verletzung ihrer Privatsphäre befürchten. Unternehmer aufgepasst: Ihr Versicherer unterstützt Sie überall gerne, die Erteilung von Auskünften oder das Durchführen von Datenlöschungen ist aber Ihre Unternehmerpflicht. Wenn Sie sich hier nicht auskennen, empfehlen wir gerne eine entsprechende Datenschutzberatung oder Rechtsberatung. Wir können entsprechende Kontakte aus unserem Netzwerk zur Verfügung stellen. Achtung: Die Nichtbeantwortung ist ein Gesetzesverstoß, wenn über Ihr Unternehmen eine Strafe verhängt wird, gibt es dafür keine Versicherungsdeckung. Nach einer Anzeige bei der Datenschutzbehörde erfolgt in der Regel dann noch die Geltendmachung eines Schadenersatzanspruches gegenüber Ihrem Unternehmen. Dieser immaterielle Schaden ist allerdings schwer zu beziffern und so werden teilweise vollkommen unrealistische Summen verlangt. Hier gilt es, nicht den Kopf in den Sand zu stecken, sondern sich sofort rechtlich beraten zu lassen, um die Ansprüche ggf. eben auch abzuwehren. Die gute Nachricht: Kann die betroffene Person keinen Schaden nachweisen, hat sie auch keinen Anspruch auf Schadenersatz, selbst wenn Ihnen ein Datenschutzverstoß nachgewiesen wird. Die Erfahrung zeigt, dass man am besten durch eine solche Situation kommt, wenn man sich zeitnah an den Versicherer wendet und sich dann von diesem und ggf. einem Anwalt durch die weiteren Schritte begleiten lässt. Auch in unserem Fall hat ein Gang zum Anwalt, empfohlen durch unser Haus, die Sache recht schnell und unkompliziert lösen können.
Kommentar Birgit von Maurnböck, Datenschutzexpertin (www.meineberater.at)
Wir von MeineBerater können nur eines dringend raten: Nehmen Sie den Datenschutz ernst. Versenden Sie keine personenbezogenen Daten an "private E-Mail-Adressen" wie im Beispielfall. Beantworten Sie Auskunftsanfragen und Löschbegehren fristgerecht und ausführlich. Häufig begleiten wir Unternehmen bei Verfahren vor der Datenschutzbehörde, mit guten Argumenten ausgestattet und bei guter Kooperation mit den Behörden sind Strafen eher Ausnahmen. Stellt die Behörde allerdings fest, dass der Datenschutz keine Rolle im Unternehmen spielt, ist mit Strafen zu rechnen. Lassen Sie es nicht so weit kommen – vertrauen Sie Ihrem Versicherer und dessen Netzwerk, wenn Sie Unterstützung brauchen. Dann sind Sie im wahrsten Sinne auf der sicheren Seite
www.allcura-versicherung.at
www.allcura-versicherung.de
Kommentar schreiben