Arbeitsgericht: Unverschlüsselte Mail verstößt gegen die DSGVO
Ein Arbeitnehmer hat erfolgreich geltend gemacht, dass ihm sein Arbeitgeber nicht unverschlüsselt Auskunft erteilen darf. Schadenersatz erhält er aber nicht.
(Bild: peterschreiber.media/Shutterstock.com)
Das Arbeitsgericht Suhl hat klargestellt, dass die von der Datenschutz-Grundverordnung (DSGVO) geforderte angemessene Sicherheit personenbezogener Daten bei einer unverschlüsselten E-Mail nicht gewährleistet ist. Es gab in einem jetzt veröffentlichten Urteil vom 20. Dezember einem Arbeitnehmer Recht, der von seinem Arbeitgeber schriftlich Auskunft über alle über ihn gespeicherten Daten verlangt und diese unverschlüsselt per E-Mail erhalten hatte. Mit seiner Hauptforderung nach Schadensersatz in Höhe von mindestens 10.000 Euro scheiterte der Kläger jedoch. Er habe nicht hinreichend dargelegt, dass ihm ein Schaden entstanden sei.
Der Arbeitnehmer brachte vor, durch die Form der Datenübermittlung, eine zusätzliche Weiterleitung seiner Informationen an den Betriebsrat und eine unvollständige Auskunft, habe er einen immateriellen Schaden sowie einen Kontrollverlust erlitten. Er leitete einen Ersatzanspruch aus Artikel 82 Absatz 1 DSGVO ab. Um diesen geltend zu machen, sei aufgrund der DSGVO-Verstöße gerade kein nachweisbarer separater kausaler Schaden erforderlich. Aufgrund der mehrfachen und fortwährenden Rechtsverletzungen sowie auch Abschreckung sei ein Betrag von mindestens 10.000 Euro nebst Zinsen in Höhe von fünf Prozentpunkten angemessen.
Kläger muss Verfahrenskosten zahlen
Die 6. Kammer des Arbeitsgerichts wies die Klage nun mit ihrer Entscheidung als unbegründet zurück (Az.: 6 Ca 704/23) und bürdete dem Kläger die Kosten des Rechtsstreits auf. Die unverschlüsselte Auskunft sei zwar nicht mit der DSGVO vereinbar, erklärten die Richter und beriefen sich dabei auch auf die Ansicht des Thüringer Datenschutzbeauftragten Lutz Hasse. Bei diesem hatte sich der Kläger zunächst beschwert. Für einen Anspruch auf Schadensersatz sei neben einer Rechtsverletzung aber "auch ein Schaden sowie ein Kausalzusammenhang zwischen Verstoß und Schaden erforderlich". Das Vorliegen eines konkreten immateriellen Schadens habe der Kläger nicht ausreichend dargetan. Es sei auch nicht ersichtlich, dass dieser "daran gehindert wurde, die ihn betreffenden personenbezogenen Daten zu kontrollieren".
Einen Anspruch des Arbeitnehmers auf Zahlung eines Schmerzensgeldes unter dem Gesichtspunkt der Verletzung seines Persönlichkeitsrechts sieht das Gericht ebenfalls nicht. Auch hier habe er keinen schwerwiegenden Verstoß dargelegt. Eine Berufung hat die Kammer nur zugelassen, wenn der Kläger nachweisen könnte, dass der Wert des Beschwerdegegenstandes 600 Euro übersteigt. Völlig aussichtslos dürfte der Gang vor die höhere Instanz prinzipiell nicht sein. Der Europäische Gerichtshof (EuGH) urteilte am 14. Dezember, dass schon die Sorge, dass persönliche Daten missbraucht wurden, einen Schaden darstellen kann. Zugleich weisen die Luxemburger Richter aber auch darauf hin, dass der Betroffene seine Ängste tatsächlich erlitten haben und dies auch nachweisen können muss.
Was Datenschutzbeauftragte empfehlen
Verschlüsselung wird in der DSGVO im Grundsatzartikel 5 nicht direkt erwähnt. Als vergleichsweise sichere Kommunikationsmittel empfiehlt aber etwa auch der hessische Datenschutzbeauftragte Alexander Roßnagel insbesondere den Versand inhaltsverschlüsselter E-Mails (PGP oder S/MIME) oder Portallösungen, "bei denen die Kommunikationspartner Nachrichten und Inhalte verschlüsselt abrufen und bereitstellen können". Verantwortliche müssten auf DSGVO-Basis angesichts des "Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen", um ein angemessenes Schutzniveau zu gewährleisten.
(mki)
