E-Mail mit personenbezogenen Daten: verschlüsseln notwendig?!

 Ein aktuelles Urteil des ArbG Suhl zum Thema DSGVO-Verstoß und Schadenersatz.

E-Mail mit personenbezogenen Daten: verschlüsseln notwendig?!

Personenbezogene Arbeitnehmerdaten in einer unverschlüsselten E-Mail zu versenden, verstößt gegen die DSGVO, urteilte kürzlich das ArbG Suhl (Urteil v. 20.12.2023, Az.: 6 Ca 704/23). Einen Anspruch auf Schadenersatz bzw. Schmerzensgeld sprach das Gericht dem betroffenen Arbeitnehmer allerdings nicht zu.

Arbeitnehmer verlangte Auskunft über gespeicherte Daten

Anlass für den Rechtsstreit vor dem Arbeitsgericht Suhl war eine E-Mail eines Arbeitgebers an seinen Mitarbeiter. Auf dessen Wunsch hin (Art. 15 DSGVO) hatte der Arbeitgeber dem Mitarbeiter eine E-Mail mit über ihn gespeicherten personenbezogenen Daten geschickt – allerdings teilweise unverschlüsselt. Außerdem hatte der Arbeitgeber dem Betriebsrat diese Daten zugeleitet – allerdings ohne Zustimmung des Mitarbeiters.

Ein Verstoß gegen die DSGVO? So jedenfalls sah es der Mitarbeiter und verlangte immerhin 10.000 Euro Schadenersatz nach Art. 82 DSGVO. Ihm stehe wegen der Datenschutzverstöße Schmerzensgeld wegen immaterieller Schäden zu. Denn u. a. durch die unverschlüsselte Übersendung der Daten via E-Mail habe er einen Kontrollverlust über die eigenen Daten erlitten.

Verstoß gegen die DSGVO ja – Schmerzensgeld nein

Das Arbeitsgericht Suhl kam in der Sache zu einem klaren Urteil: Einen Verstoß gegen die DSGVO sah das Gericht in dem Fall als gegeben. Personenbezogene Daten mit einer unverschlüsselten E-Mail zu versenden, sei schlichtweg nicht sicher genug.

Allein den Anspruch auf Schmerzensgeld nach Art. 82 DSGVO sprach das Gericht dem Kläger nicht zu. Er habe weder einen ausreichend konkreten Schaden noch einen Kontrollverlust über die Daten nachweisen können. Auch eine Verletzung des allgemeinen Persönlichkeitsrechts des Arbeitnehmers verbunden mit einem Schadenersatzanspruch nach § 823 BGB lehnte das Gericht ab.

Berufung wegen EuGH-Urteil möglich

Das Verfahren ist aber in diesem Fall nicht notwendigerweise beendet. Denn eine Berufung gegen das Urteil des Arbeitsgerichts Suhl ist möglich und durchaus vorstellbar.

Grund dafür ist ein Urteil des EuGH:
Der EuGH hatte Betroffenen eines Hackerangriffs auf bulgarische Finanzbehörden, bei dem Daten „gestohlen“ und offen im Internet veröffentlicht wurden, Schadenersatz wegen eines immateriellen Schadens zugesprochen. Die Begründung dafür: Allein die glaubhafte Angst vor einem Datenmissbrauch führe zu einem Anspruch auf Schmerzensgeld.

Diese Entscheidung des EuGH vom 14.12.2023 (Az.: C-340/21) könnte dazu führen, dass künftig auch die Anforderungen der deutschen Rechtsprechung an einen Anspruch auf Schmerzensgeld wegen einer DSGVO-Verletzung sinken. Ob das Urteil des EuGH aber letztlich geeignet ist, Grundlage für eine (erfolgreiche) Berufung gegen das Urteil des ArbG Suhl zu sein, bleibt abzuwarten.

Was wir für Sie tun können

Haben Sie Fragen zum DSGVO-konformen Umgang mit Arbeitnehmerdaten? Sprechen Sie uns gern an!

Das Wichtigste in Kürze zusammengefasst:

  • Als Arbeitgeber personenbezogene Mitarbeiterdaten via unverschlüsselter E-Mail zu versenden, ist ein Datenschutzverstoß.
  • Nicht jeder Datenschutzverstoß löst automatisch einen Anspruch auf Schadenersatz bzw. Schmerzensgeld wegen eines immateriellen Schadens aus.
  • Eine Berufung ist im Fall des ArbG Suhl möglich und vollstellbar, weil der EuGH kürzlich im Fall eines Datenlecks nach einem Hackerangriff den Anspruch auf Schmerzensgeld bejaht hatte.