ArbG: Mail mit personenbezogenen Daten nur verschlüsselt
Das Arbeitsgericht Suhl (ArbG) hat am 20.12.2023 in einem Urteil (6 Ca 704/23) entschieden, dass eine Mail mit personenbezogenen Daten nur verschlüsselt versendet werden darf. Anderenfalls verstößt das Verhalten gegen die DSGVO.
Sachverhalt
Der Kläger verlangte von seinem Arbeitgeber schriftliche Auskunft über die ihn betreffenden gespeicherten Daten. Der Arbeitgeber übermittelte diese ihm teilweise unverschlüsselt per E-Mail. Des Weiteren wurden seine Daten ohne seine Zustimmung an den Betriebsrat weitergeleitet. Nun fordert der Kläger von seinem ehemaligen Arbeitgeber Schadensersatz gemäß Art. 82 Abs. 1 Datenschutzgrundverordnung (DSGVO) in Höhe von mindestens 10.000 € netto. Er argumentierte, dass er durch die Datenschutzverstöße einen immateriellen Schaden erlitten habe, insbesondere durch die unverschlüsselte und unvollständige Auskunft, was zu einem Kontrollverlust führte.
Urteil: Unverschlüsselte E-Mail erfüllt nicht angemessene Sicherheit von personenbezogenen Daten
Das ArbG urteilt ähnlich wie der Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI), bei dem sich der Kläger zunächst beschwert hatte. Ein Verstoß gegen die DSGVO wird bejaht, da die Auskunft per unverschlüsselter E-Mail erfolgte. Eine unverschlüsselte E-Mail, die personenbezogene Daten enthält ist nicht ausreichend sicher.
Das ArbG wies die Klage allerdings ab und verneinte einen Schadensersatzanspruch. Das Gericht argumentierte, dass der Kläger weder einen konkreten immateriellen Schaden noch einen Kontrollverlust über seine Daten nachweisen konnte. Inwiefern der Kläger daran gehindert war „die ihn betreffenden personenbezogenen Daten zu kontrollieren“ sei nicht ersichtlich. Aufgrund eines fehlenden schwerwiegenden Verstoßes sei auch ein Schmerzensgeld wegen Verletzung des Persönlichkeitsrechts ausgeschlossen. Damit musste der Kläger auch die Verfahrenskosten tragen.
Berufung möglicherweise erfolgreich
Unter engen Voraussetzungen hat das ArbG allerdings die Berufung zu gelassen. Diese könnte vor dem Hintergrund eines Urteils des europäischen Gerichtshofs (EuGH) auch nicht völlig sinnlos sein. Dieser hatte nämlich am 14.12.2023 entschieden (C-340/21), dass ein Schadensersatzanspruch schon bei einer Befürchtung vor einem Datenmissbrauch begründet sein kann. Jedenfalls muss der Anspruchssteller aber die Ängste tatsächlich erlitten haben und dies auch beweisen.
Fazit
Das ArbG hat entschieden, dass eine Mail mit personenbezogenen Daten verschlüsselt zu versenden ist. Deswegen sollten Unternehmen entsprechende Nachrichten nur verschlüsselt zu versenden, um den Anforderungen des Stands der Technik gerecht zu werden.
Das Urteil verdeutlicht aber auch, dass ein bloßer Verstoß gegen die DSGVO nicht automatisch einen Schadensersatzanspruch begründen muss. Die Entscheidung reiht sich ein in die aktuelle Tendenz deutscher Gerichte, höhere Anforderungen an den Zuspruch von immateriellem Schadensersatz im Datenschutz zu stellen. Der Kläger muss nachweisen, dass tatsächlich ein Schaden eingetreten ist. Andererseits legt der EuGH hier regelmäßig lockerere Regeln an. Nun bleibt abzuwarten, ob es zu einer Berufung kommen wird und ob es dem dann Kläger gelingt seinen Schadensersatzanspruch substantiiert zu begründen.
