Die Übermittlung einer Datenschutzauskunft per unverschlüsselter E-Mail ist zwar eine Datenschutzverletzung, begründet jedoch keinen automatischen Schadensersatzanspruch. Dies hat das AG Suhl im Fall eines Arbeitnehmers entschieden, der zuvor eine Datenauskunft von seinem Arbeitgeber verlangt hatte.
Verlangt ein Arbeitnehmer nach Art. 15 DSGVO schriftlich Auskunft über alle über ihn gespeicherten Daten und erhält er diese sodann vom Arbeitgeber per unverschlüsselter E-Mail, so verstößt dieses Vorgehen gegen die Sicherheitsanforderungen der Datenschutzgrundverordnung, im Detail gegen Art. 5 DSGVO. Das hat das Arbeitsgericht (AG) Suhl mit seiner jetzt veröffentlichten Entscheidung vom 20.12.2023 deutlich gemacht (AG Suhl, Az. 6 Ca 704/23).
Schriftliche Auskunft über gespeicherte Daten verlangt
Der im Zeitraum von Oktober 2020 bis einschließlich Januar 2022 bei seinem Arbeitgeber beschäftigte Arbeitnehmer, verlangte mit E-Mail vom 22.12.2021 eine schriftliche Auskunft über alle über ihn gespeicherten Daten. Diesem Wunsch kam der Arbeitgeber nach und übersandte dem Mann nur einen Tag später per unverschlüsselter E-Mail-Nachricht eine Übersicht der digital verarbeiteten Daten im PDF-Format. Parallel hierzu wurden die gespeicherten personenbezogenen Daten des Arbeitnehmers ohne dessen Zustimmung an den Betriebsrat des Unternehmens weitergeleitet. Per Post erteilte der Arbeitgeber ihm im Frühjahr 2022 weitere Auskunft über die erhobenen und gespeicherten Daten, allerdings nach Ansicht des Mannes nur unvollständig.
Hiergegen erhob er Beschwerde über Datenschutzverletzungen beim Thüringer Landesbeauftragen für den Datenschutz und die Informationsfreiheit (kurz: TLfDI). Am 25.01.2023 wurde ihm auf seine Beschwerde hin mitgeteilt, dass nach Auffassung des TLfDI die Auskunftserteilung durch seinen Arbeitgeber mittels unverschlüsselter E-Mail gegen Art. 5 Abs.1 Buchst. f) DSGVO verstoße.
Mit Antrag vom 30.03.2023 forderte er sodann beim TLfDI zudem eine Ergänzungsprüfung wegen der Übersendung der Daten an den Betriebsrat.
Soforthilfe vom Anwalt
Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.
Klage auf Schadensersatz wegen geltend gemachten Kontrollverlust über Daten
Auf die Mitteilung des Thüringer Landesbeauftragten hin erhob er Klage vor dem zuständigen Arbeitsgericht in Suhl und begehrte nunmehr Schadensersatz nach Art. 82 Abs. 1 DSGVO. Der Arbeitgeber habe mehrfach in erheblicher Weise gegen die DSGVO verstoßen und sei daher zu einer Geldentschädigung in Mindesthöhe von 10.000 Euro netto verpflichtet. Nach Ansicht klagenden Arbeitnehmers habe er durch die Verstöße (Datenübermittlung mittels unverschlüsselter E-Mail, Weiterleitung an den Betriebsrat und unvollständige Auskunft) einen immateriellen Schaden erlitten, für den kein nachweisbarer separater kausaler Schaden erforderlich sei. Der Verstoß gegen die DSGVO reiche für den Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO aus. Aufgrund der mehrfachen und fortwährenden Verstöße als auch zur Erzielung einer Abschreckungswirkung sei ein Betrag von 10.000 € angemessen.
Klage wird abgewiesen – EuGH-Entscheidung als Leitlinie
Mit dieser Forderung scheiterte er allerdings vor Gericht, wenngleich ihm insoweit Recht gegeben wurde, dass ein Verstoß gegen Art. 5 DSGVO wegen des Versands der unverschlüsselten E-Mail vorliege. Wörtlich lautet es:
Nach Ansicht des Gerichts habe der Kläger das Vorliegen eines konkreten immateriellen Schadens allerdings nicht ausreichend dargetan. Im vorliegenden Fall sei nicht ersichtlich, inwieweit der Kläger einen Kontrollverlust erlitten haben will. Es sei nicht ersichtlich, dass der Kläger daran gehindert wurde, die ihn betreffenden personenbezogenen Daten zu kontrollieren, so das Arbeitsgericht in seinen Urteilsgründen. Darüber hinaus stellt nach Auffassung der Kammer ein bloßer, abstrakter Kontrollverlust auch keinen konkreten immateriellen Schaden dar und bezieht sich in seiner Begründung dabei auf ein Urteil des Europäischen Gerichtshofs vom 04.05.2023 (Az.: C-300/2).
Dort hat der EuGH auf ein Vorabentscheidungsersuchen des österreichischen Obersten Gerichtshofes hin, ausgeführt, dass für einen Anspruch auf Schadensersatz nach Art. 82 DSGVO neben einem Verstoß auch ein Schaden sowie ein Kausalzusammenhang zwischen Verstoß und Schaden erforderlich ist. Das Vorliegen eines konkreten immateriellen Schadens hat der Kläger im Prozess aber gerade nicht ausreichend dargetan. Die Kammer führte ferner aus, dass das Erfordernis des Nachweises eines tatsächlich erlittenen Schadens auch der Sache nach erforderlich sei, um ein vom Verordnungsgeber nicht gewolltes Ausufern von Schadensersatzforderungen in allen Fällen eines – tatsächlich für den Betroffenen folgenlosen – Datenschutzverstoßes zu vermeiden.
Das Arbeitsgericht Suhl wies die Klage in der Folge als unbegründet zurück und legte dem Arbeitnehmer die Verfahrenskosten auf.
Arbeitgeber sollten Vorsicht im Umgang mit personenbezogenen Daten walten lassen
Obgleich der Arbeitnehmer in seiner Hauptforderung auf Schadensersatz in Höhe von mindestens 10.000 Euro nicht erfolgreich war, setzt das Urteil ein klares Signal hinsichtlich der Notwendigkeit einer sicheren Datenübertragung.
Grundsätzlich schreibt die Datenschutz-Grundverordnung nicht explizit die Verschlüsselung von E-Mails vor. Arbeitgeber sind allerdings angehalten, unter Berücksichtigung des aktuellen Technikstands, der Implementierungskosten sowie der Art und des Umfangs der Datenverarbeitung geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Sicherheit von personenbezogenen Daten zu gewährleisten. Verschlüsseln Arbeitgeber eine E-Mail mit personenbezogenen Daten nicht, gehen sie das Risiko ein, dass andere Personen die E-Mail unbefugt mitlesen. Eine nicht verschlüsselte E-Mail ist ungefähr so öffentlich wie eine Postkarte, die während des Versands durch mehrere Hände geht und ist daher unstreitig nicht DSGVO-konform.
WBS Legal steht Ihnen zur Seite!
Sind Sie von einem ähnlich gelagerten Fall betroffen? Haben Sie mitbekommen, dass Ihre personenbezogenen Daten unverschlüsselt per E-Mail übertragen wurden? Wir beraten Sie gerne umfassend zu allen Fragestellungen rund um das Datenschutzrecht und stehen Ihnen mit Rat und Tat zur Seite. Kontaktieren Sie uns bei Beratungsbedarf jederzeit unter 0221 / 951 563 0 (Beratung bundesweit).
ssc