Ein aktuelles Urteil des Arbeitsgerichts Suhl, datiert auf den 20. Dezember 2023 (Aktenzeichen 6 Ca 704/23), wirft ein neues Licht auf den Umgang mit personenbezogenen Daten in der elektronischen Kommunikation und deren Konformität mit der Datenschutz-Grundverordnung (DSGVO). Dieses Urteil, das derzeit intensiv diskutiert wird, befasst sich mit der Frage, ob die Übermittlung von personenbezogenen Daten per unverschlüsselter E-Mail einen Verstoß gegen die DSGVO darstellt und ob dies zu immateriellen Schadensersatzansprüchen führt.
Kern des Falles: Im Mittelpunkt des Rechtsstreits stand die Klage eines Arbeitnehmers, der von seinem Arbeitgeber personenbezogene Daten per unverschlüsselter E-Mail erhielt. Der Kläger hatte nach Art. 15 DSGVO Auskunft verlangt und als Antwort ein Datenblatt mit seinen persönlichen Daten als E-Mail-Anhang bekommen. Daraufhin reichte er nicht nur eine Beschwerde bei der Datenschutzaufsichtsbehörde Thüringen ein, sondern forderte auch einen immateriellen Schadensersatz von mindestens 10.000 Euro.
Entscheidung des Arbeitsgerichts Suhl: Das Gericht wies die Klage jedoch als unbegründet zurück. Es stellte fest, dass die Voraussetzungen für einen Schadensersatzanspruch nicht erfüllt waren, da der Kläger den behaupteten Schaden nicht ausreichend belegen konnte. Gleichzeitig bestätigte das Gericht, dass die Übermittlung der Auskunft per unverschlüsselter E-Mail einen Verstoß gegen Art. 5 lit. f DSGVO darstellt, was bedeutet, dass eine angemessene Datensicherheit nicht gewährleistet wurde.
Diskussion um die Entscheidung: Die Feststellung des Gerichts, dass die unverschlüsselte E-Mail-Übermittlung gegen die DSGVO verstößt, führte zu Diskussionen, insbesondere im Hinblick darauf, dass nach Art. 12 DSGVO elektronisch gestellte Auskunftsersuchen grundsätzlich auch elektronisch beantwortet werden dürfen. Im spezifischen Fall hatte der Betroffene um eine schriftliche Antwort gebeten, was die Entscheidung des Gerichts möglicherweise beeinflusste. Die genauen Gründe für die Feststellung des Verstoßes und ob es sich um einen Mangel an Transport- oder Ende-zu-Ende-Verschlüsselung handelte, bleiben jedoch unklar.
Vergleich mit dem EuGH-Urteil: Diese Entscheidung steht im Einklang mit dem kürzlich ergangenen Urteil des EuGH (Rechtssache C-340/21), in dem festgestellt wurde, dass die Befürchtung eines Datenmissbrauchs einen immateriellen Schaden darstellen kann. Jedoch betonte auch der EuGH, dass der Betroffene einen solchen Schaden nachweisen muss.
Schlussfolgerung: Dieses Urteil des Arbeitsgerichts Suhl hebt die Bedeutung des sicheren Umgangs mit personenbezogenen Daten in der elektronischen Kommunikation hervor und zeigt, dass die Einhaltung der DSGVO-Vorschriften für Unternehmen von entscheidender Bedeutung ist. Es unterstreicht auch die Notwendigkeit für Kläger, einen tatsächlichen Schaden nachzuweisen, um Schadensersatzansprüche erfolgreich geltend zu machen.
Stefan Lutz, LL.M.
Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU
Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.
Telefon: 0751 / 27 088 530