Wann tritt ein Verstoß gegen die DSGVO im Bewerbungsprozess auf?

Ein Verstoß gegen die DSGVO ist gegeben, wenn ich als Arbeitgeber Bewerberdaten ohne rechtliche Grundlage verarbeite, lösche oder das Auskunftsrecht gemäß Art. 15 DSGVO nicht oder verspätet erfülle.

Sind Arbeitgeber verpflichtet, Bewerbern Informationen über ihre Daten bereitzustellen?

Ja. Als Arbeitgeber bin ich verpflichtet, Bewerbern auf Anfrage vollständige Informationen über die gespeicherten personenbezogenen Daten, die Verarbeitungszwecke und die Speicherfristen bereitzustellen.

Ist es einem Unternehmen gestattet, Bewerbungsunterlagen ohne Weiteres zu löschen?

Im Prinzip ja – jedoch erst nach Erfüllung meiner Auskunftspflichten. Wenn die Löschung erfolgt, bevor ich die geforderte DSGVO-Auskunft erteilt habe, kann dies einen Rechtsverstoß darstellen.

Hat ein Bewerber das Recht, Schadensersatz gemäß Art. 82 DSGVO zu fordern?

Ein Anspruch auf Schadensersatz kann geltend gemacht werden, wenn ein materieller oder immaterieller Schaden nachgewiesen wird. Ein reiner Verstoß gegen die DSGVO reicht hierfür nicht automatisch aus.

Reicht „emotionales Ungemach“ aus, um Schadensersatz nach DSGVO zu verlangen?

Nach der derzeitigen Rechtsprechung des Arbeitsgerichts Düsseldorf ist dies nicht der Fall. Ein bloßes Unwohlsein oder ein abstrakter Kontrollverlust über Daten genügt in der Regel nicht, es sei denn, es liegt eine konkrete Beeinträchtigung vor.

Welche Bedeutung hat immaterieller Schaden im Kontext der DSGVO?

Ein immaterieller Schaden kann beispielsweise bei nachweisbarer psychischer Belastung, Angstzuständen oder gravierender Beeinträchtigung der Persönlichkeitsrechte gegeben sein – jedoch nicht bei lediglich bestehender Ungewissheit.

Wie entschied das Arbeitsgericht Düsseldorf in diesem speziellen Fall?

Das Gericht wies den Schadensersatzanspruch zurück, da kein spezifischer immaterieller Schaden nachgewiesen wurde, obwohl ein potenzieller Verstoß gegen Art. 15 DSGVO gegeben war.

Was führt dazu, dass das Verfahren derzeit beim EuGH läuft?

Das Bundesarbeitsgericht hat das Verfahren gestoppt, um eine Klärung durch den EuGH zur Auslegung von Art. 82 DSGVO abzuwarten.

Welche Fragen möchte ich vom EuGH geklärt haben?

Der EuGH wird darüber entscheiden, ob eine Verletzung des Auskunftsrechts oder die Ungewissheit über die Datenverarbeitung als ersatzfähiger immaterieller Schaden betrachtet werden kann.

Welche Relevanz hat das Verfahren für den Arbeitgeber?

Die Entscheidung kann tiefgreifende Auswirkungen auf Haftungsrisiken im Bewerbungsverfahren haben. Ich als Arbeitgeber muss die DSGVO-Pflichten künftig noch gewissenhafter beachten, um Schadensersatzforderungen zu vermeiden.

TURGERLEGAL - Uzmanlık. Güvenilirlik. Özveri

GDPR ihlali sonrası tazminat: Silinen başvuru belgeleri hukuki tartışmalara yol açtı

İş hukuku alanında uzman makalesi

GDPR ihlalleri için tazminat: Silinen başvuru belgeleri hukuki anlaşmazlıklara yol açıyor

İş mahkemelerinde devam eden ve işverenler için geniş kapsamlı sonuçlar doğurabilecek bir dava var: Bir başvuru sahibi, bir şirketin başvuru belgelerini Genel Veri Koruma Yönetmeliği (GDPR) uyarınca sildiği iddiasıyla GDPR ihlali nedeniyle tazminat talep ediyor. Ancak başvuru sahibi, kişisel verilerinin işlenmesi hakkında önceden hiçbir bilgi verilmemesini eleştiriyor. Ona göre, bu şeffaflık eksikliği kendisine duygusal sıkıntıya neden oldu.

Şimdi iş hukuku ve veri koruma hukuku kapsamında kritik bir soru ortaya çıkıyor: Bu "duygusal rahatsızlık", GDPR'nin 82. maddesi uyarınca tazminat talebinde bulunmak için yeterli midir? Dava şimdi Avrupa Adalet Divanı'na (AAD) ulaştı.

Başvuru sürecinde GDPR ihlali: Silinen belgeler nedeniyle tazminat talebi

Alacak yönetimi pozisyonuna başvuran bir aday, başvurusuyla ilgili hiçbir geri bildirim almadı ve saklanan verileri hakkında hiçbir bilgi edinmedi. Kendi inisiyatifimle bir ret mektubu yazdım ve GDPR'nin 15. maddesi uyarınca verilerime erişim ve bir kopyasını talep ettim.

Şirket bana tüm başvuru belgelerinin "GDPR'ye uygun olarak" silindiğini bildirdi. Bunu bilgiye erişim hakkının kasıtlı bir ihlali olarak değerlendirdim ve tazminat talep ettim.

Bunu, kişisel verilerim üzerindeki kontrolümü kaybetmem ve bunun sonucunda yaşadığım duygusal sıkıntıyla gerekçelendirdim. Dahası, işverenimin veri koruma yükümlülüklerine uymaması nedeniyle önemli ölçüde zaman ve emek harcadım, ayrıca yasal masraflar riskiyle de karşı karşıya kaldım. Bana göre, bu tür duygusal sıkıntı da GDPR kapsamında tazmin edilebilir bir zarar teşkil etmektedir.

Başvuru sürecinde GDPR ihlalleriyle ilgili sorularınız mı var, yoksa çalışan olarak haklarınızı savunmak mı istiyorsunuz? Hemen benimle iletişime geçin – iddialarınızı inceleyeceğim ve sizi özveriyle temsil edeceğim.

Düsseldorf İş Mahkemesi: Başvuru sahibinin verileri üzerindeki kontrolün kaybedilmesi nedeniyle tazminat hakkı bulunmamaktadır.

Düsseldorf İş Mahkemesi (12 Mart 2024 tarihli karar – 13 Ca 5385/23), GDPR Madde 82, Paragraf 1 uyarınca tazminat talep eden bir başvurucunun talebini reddetti. Hakimler, tazmin edilebilir manevi bir zararın meydana gelmediğine karar verdi.

Davacı, kişisel verilerine erişim hakkının olmaması ve başvuru belgelerinin silinmesi nedeniyle verileri üzerindeki kontrolünü kaybetmesinin "duygusal sıkıntıya" yol açtığını savundu. Ancak mahkeme, GDPR'nin yalnızca ihlal edilmesinin tazminat talebi için yeterli olmadığını açıkça belirtti.

Mahkemeye göre, Avrupa Adalet Divanı ve bazı hukuk uzmanlarının da vurguladığı gibi, somut bir zararın kanıtlanması gerekmektedir. Fiziksel veya psikolojik bütünlüğün kanıtlanabilir bir şekilde bozulması olmaksızın, yalnızca kontrolün kaybedilmesi bu gerekliliği karşılamaz. Şirketin belgelerin silindiği iddiası da kötüye kullanım veya ciddi zararın kanıtı olarak yetersizdir.

İş hukuku alanında GDPR ihlalinin ne zaman tazminat talebine yol açtığını öğrenmek ister misiniz? Davanızı bireysel olarak inceleyeceğim ve haklarınızı savunacağım. Ücretsiz danışmanlık için hemen benimle iletişime geçin!

Federal İş Mahkemesi (BAG) davayı sonlandırdı; Avrupa Adalet Divanı (ECJ), GDPR'nin bilgi verme yükümlülüğü kapsamında tazminatlara karar verecek.

Bölge İş Mahkemesi, temyiz üzerine alt mahkemenin kararını onayladı. Dava şu anda Federal İş Mahkemesi'nde (BAG) görülmektedir, ancak 24 Haziran 2025 tarihli (8 AZR 4/25) kararla askıya alınmıştır. Bunun nedeni, Federal Adalet Divanı'nın (BGH) Avrupa Adalet Divanı'na (ECJ) 6 Mayıs 2025 tarihli ön karar talebinin beklemede olmasıdır.

Avrupa Adalet Divanı, GDPR Madde 82(1) ve (2)'nin (sorumluluk ve tazminat hakkı) GDPR Madde 15 kapsamındaki erişim hakkının ihlalinin -örneğin, gecikmiş veya eksik bilgi yoluyla- maddi olmayan zararlar için tazminat talebine yol açabileceği şekilde yorumlanıp yorumlanmayacağını açıklığa kavuşturacaktır.

Ayrıca, Federal Halk Sağlığı Ofisi (BAG), kişisel verilerin işlenmesine ilişkin belirsizliğin ve bununla bağlantılı olarak hukuka uygunluğun doğrulanması ve hakların ileri sürülmesi konusundaki kısıtlamanın, GDPR'nin 82. maddesi anlamında maddi olmayan zarar olarak değerlendirilip değerlendirilmediğini öğrenmek istemektedir.

Bu karar, iş hukuku alanında GDPR ihlallerinden kaynaklanan tazminat talepleri için önemli sonuçlar doğurabilir. Haklarınız konusunda kapsamlı danışmanlık hizmeti sunuyorum – şimdi ücretsiz bir görüşme talep edin.

Şimdi bir soruşturma yapın

Endişeleriniz konusunda size kapsamlı, kişisel tavsiyelerde bulunmaktan mutluluk duyarız.

Sıkça Sorulan Sorular – GDPR ihlalleri için tazminat hakkında

Başvuru sürecinde GDPR ihlali ne zaman gerçekleşir?

İşveren olarak, yasal bir dayanağım olmaksızın başvuru sahiplerinin verilerini işler veya silersem ya da GDPR Madde 15 uyarınca erişim hakkına uymama veya bunu gecikmeli yapma durumunda GDPR ihlali gerçekleşmiş olur.

İşverenler, başvuru sahiplerine kişisel verileri hakkında bilgi vermekle yükümlü müdür?

Evet. İşveren olarak, başvuru sahiplerine talep üzerine saklanan kişisel veriler, işleme amaçları ve saklama süreleri hakkında eksiksiz bilgi verme yükümlülüğüm bulunmaktadır.

Bir şirket başvuru belgelerini istediği gibi silebilir mi?

Prensip olarak evet, ancak yalnızca bilgi verme yükümlülüklerimi yerine getirdikten sonra. Talep edilen GDPR bilgilerini vermeden önce veriler silinirse, bu yasal bir ihlal teşkil edebilir.

Başvuru sahibi, GDPR'nin 82. maddesi uyarınca tazminat talep etme hakkına sahip midir?

Maddi veya manevi zararın kanıtlanması halinde tazminat talebinde bulunulabilir. Sadece GDPR ihlali, bunun için otomatik olarak yeterli değildir.

GDPR kapsamında "duygusal sıkıntı" tazminat talebinde bulunmak için yeterli bir gerekçe midir?

Düsseldorf İş Mahkemesi'nin mevcut içtihatlarına göre, durum böyle değildir. Somut bir bozulma olmadığı sürece, salt huzursuzluk veya veriler üzerindeki kontrolün soyut bir şekilde kaybedilmesi genellikle yeterli değildir.

GDPR bağlamında maddi olmayan zararın önemi nedir?

Maddi olmayan zararlar, örneğin, kanıtlanabilir psikolojik sıkıntı, kaygı veya kişisel hakların ciddi ihlali durumlarında meydana gelebilir; ancak salt belirsizlik durumlarında meydana gelmez.

Düsseldorf İş Mahkemesi bu özel davada nasıl bir karar verdi?

Mahkeme, GDPR'nin 15. maddesinin potansiyel ihlali söz konusu olsa da, somut bir manevi zararın kanıtlanmadığı gerekçesiyle tazminat talebini reddetti.

Davanın şu anda Avrupa Adalet Divanı'nda görülmesinin sebebi nedir?

O Federal İş Mahkemesi Avrupa Adalet Divanı'ndan GDPR'nin 82. maddesinin yorumuna ilişkin açıklama beklemek amacıyla yargılamayı durdurmuştur.

Avrupa Adalet Divanı'nın hangi soruları açıklığa kavuşturmasını isterim?

Avrupa Adalet Divanı, bilgi edinme hakkının ihlalinin veya veri işleme konusundaki belirsizliğin tazmin edilebilir manevi zarar olarak değerlendirilip değerlendirilemeyeceğine karar verecektir.

Bu prosedürün işveren için ne gibi bir önemi var?

Bu karar, başvuru sürecindeki sorumluluk riskleri açısından önemli sonuçlar doğurabilir. İşveren olarak, tazminat taleplerinden kaçınmak için gelecekte GDPR yükümlülüklerine daha da titizlikle uymak zorunda kalacağım.