Erteilt der Arbeitgeber Auskunft über personenbezogene Daten in einer unverschlüsselten E-Mail, dann stellt dies einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO) dar. Dem Arbeitsgericht Suhl zufolge gewährleiste dieses Vorgehen nicht die nach der DSGVO geforderte angemessene Sicherheit für personenbezogene Daten. Das Gericht gab damit einem klagenden Arbeitnehmer Recht – Schadensersatz bekam er dafür jedoch nicht zugesprochen.
Auskünfte unverschlüsselt und an den Betriebsrat gesendet
Aus dem Mitte Dezember letzten Jahres veröffentlichten Urteil geht hervor, dass der Arbeitnehmer, der von Oktober 2020 bis Januar 2022 in dem Unternehmen beschäftigt war, die Auffassung vertrat, durch die unverschlüsselte Datenübermittlung einen immateriellen Schaden erlitten zu haben und forderte einen Schadensersatz in Höhe von 10.000 Euro nebst Zinsen, wie heise-online berichtet.
Ausschlaggebend für die Forderung war sein nach Artikel 15 DSGVO berechtigtes Verlangen an den Arbeitgeber, schriftlich Auskunft über alle über ihn gespeicherten Daten zu erteilen. Dem kam der Arbeitgeber auch nach. Allerdings schickte er die Informationen unverschlüsselt per Mail an den Arbeitnehmer. Und nicht nur das: Die gespeicherten personenbezogenen Daten des Mannes wurden darüber hinaus auch ohne seine Zustimmung an den Betriebsrat des Unternehmens weitergeleitet.
Immaterieller Schaden nicht nachgewiesen
Das Arbeitsgericht Suhl (Urteil vom 20.12.2023, Az.: 6 Ca 704/23) sah ebenfalls einen Verstoß gegen die Sicherheitsanforderungen nach Artikel 5 DSGVO durch den unverschlüsselten E-Mail-Versand an den Arbeitnehmer gegeben. Allerdings begründe dies nicht automatisch einen Schadensersatzanspruch.
Vielmehr konnte der Arbeitnehmer nicht ausreichend darlegen, inwieweit ihm ein immaterieller Schaden entstanden ist. Er war der Auffassung, für einen Schadensersatzanspruch genüge der bloße Verstoß gegen die DSGVO, auch ohne nachweisbaren kausalen Schaden. Das sah das Arbeitsgericht jedoch anders und stellte klar: „Darüber hinaus stellt nach Auffassung der Kammer ein bloßer, abstrakter Kontrollverlust auch keinen konkreten immateriellen Schaden dar.“ Inwieweit der Arbeitnehmer einen konkreten Kontrollverlust erlitten habe, konnte das Gericht nicht erkennen und der Mann nicht darlegen.
Somit wies das Gericht die Klage als unbegründet ab – und legte dem Arbeitnehmer die gesamten Verfahrenskosten auf.
Praxistipp für Arbeitgeber:innen
Eine Pflicht, E-Mails nur verschlüsselt zu versenden, gibt es nach der DSGVO nicht. Allerdings sind Arbeitgeber:innen gut beraten, entsprechende Vorkehrungen zu treffen, um die Daten ihrer Mitarbeiter:innen zu schützen. Das kann beispielsweise durch bestimmte Portallösungen geschehen, bei denen die Inhalte verschlüsselt abgerufen werden können oder durch andere geeignete technische Maßnahmen, die den Schutz der Daten gewährleisten.
Artikelbild: http://www.depositphotos.com
Kommentar schreiben
Antworten
Ist die Mail unverschlüsselt gewesen? Oder die Übertragung?
Die Übertragung sollte heute doch mindestens per starttls besser noch ssl/tls erfolgen.
Ihre Antwort schreiben