Att avslöja uppgifter om en pågående rekrytering till obehöriga kan leda till konsekvenser för en sökande, till exempel när denne vill byta jobb och inte har informerat sin nuvarande arbetsgivare om detta. En domstol i Tyskland, Landesgericht Darmstadt, har dömt en bank till att betala skadestånd till en jobbsökande för att banken avslöjat uppgifter om den pågående rekryteringen till sökandens befintliga arbetsgivare i strid med reglerna i dataskyddsförordningen (“GDPR”).
Bakgrunden till skadeståndstalan var att den potentiella arbetsgivaren (en bank) skickade ett mejl innehållandes uppgifter om sökandens pågående rekrytering till fel mottagare som jobbade på samma företag som sökanden (en annan bank). På detta sätt fick sökandens kollega vetskap om att sökanden hade för avsikt att byta jobb och sökandens löneanspråk.
Sökanden krävde den potentiella arbetsgivaren på skadestånd för den immateriella skada som uppstod till följd av den potentiella arbetsgivarens överträdelse av GDPR (se artikel 82.1 i GDPR). Domstolen ansåg att det saknades en rättslig grund för den potentiella arbetsgivaren att dela uppgifter om sökandens rekrytering med dennes befintliga arbetsgivare (se artikel 6 i GDPR). Domstolen ansåg vidare att den potentiella arbetsgivaren hade brutit mot skyldigheten att informera sökanden om den inträffande personuppgiftsincidenten (se artikel 34 GDPR). Domstolen biföll sökandens talan och bestämde att den potentiella arbetsgivaren ska betala 1 000 euro i skadestånd till sökanden.
Enligt domstolen ledde den inträffade incidenten till att den sökande förlorat kontrollen över sina personuppgifter vilket domstolen klassade som en konkret skada. Samtidigt konstaterade domstolen att det inte krävs att en registrerad kan visa vilken konkret skada som har uppstått som följd av ett regelbrott för att skadeståndsansvaret enligt artikel 82 i GDPR ska aktualiseras.