E-Mail mit personenbezogenen Daten: verschlüsseln notwendig?!

 Ein aktuelles Urteil des ArbG Suhl zum Thema DSGVO-Verstoß und Schadenersatz.

Dennis Gonta LL.M. ist Rechtsanwalt und Senior Associate bei BUSE am Standort Düsseldorf
Dennis Gonta, LL.M.
Rechtsanwalt

E-Mail mit personenbezogenen Daten: verschlüsseln notwendig?!

Blog: Arbeitsrecht - Beitrag vom 16.04.2024
Personenbezogene Arbeitnehmerdaten in einer unverschlüsselten E-Mail zu versenden, verstößt gegen die DSGVO, urteilte kürzlich das ArbG Suhl (Urteil v. 20.12.2023, Az.: 6 Ca 704/23). Einen Anspruch auf Schadenersatz bzw. Schmerzensgeld sprach das Gericht dem betroffenen Arbeitnehmer allerdings nicht zu.

Arbeitnehmer verlangte Auskunft über gespeicherte Daten

Anlass für den Rechtsstreit vor dem Arbeitsgericht Suhl war eine E-Mail eines Arbeitgebers an seinen Mitarbeiter. Auf dessen Wunsch hin (Art. 15 DSGVO) hatte der Arbeitgeber dem Mitarbeiter eine E-Mail mit über ihn gespeicherten personenbezogenen Daten geschickt – allerdings teilweise unverschlüsselt. Außerdem hatte der Arbeitgeber dem Betriebsrat diese Daten zugeleitet – allerdings ohne Zustimmung des Mitarbeiters.

Ein Verstoß gegen die DSGVO? So jedenfalls sah es der Mitarbeiter und verlangte immerhin 10.000 Euro Schadenersatz nach Art. 82 DSGVO. Ihm stehe wegen der Datenschutzverstöße Schmerzensgeld wegen immaterieller Schäden zu. Denn u. a. durch die unverschlüsselte Übersendung der Daten via E-Mail habe er einen Kontrollverlust über die eigenen Daten erlitten.

Verstoß gegen die DSGVO ja – Schmerzensgeld nein

Das Arbeitsgericht Suhl kam in der Sache zu einem klaren Urteil: Einen Verstoß gegen die DSGVO sah das Gericht in dem Fall als gegeben. Personenbezogene Daten mit einer unverschlüsselten E-Mail zu versenden, sei schlichtweg nicht sicher genug.

Allein den Anspruch auf Schmerzensgeld nach Art. 82 DSGVO sprach das Gericht dem Kläger nicht zu. Er habe weder einen ausreichend konkreten Schaden noch einen Kontrollverlust über die Daten nachweisen können. Auch eine Verletzung des allgemeinen Persönlichkeitsrechts des Arbeitnehmers verbunden mit einem Schadenersatzanspruch nach § 823 BGB lehnte das Gericht ab.

Berufung wegen EuGH-Urteil möglich

Das Verfahren ist aber in diesem Fall nicht notwendigerweise beendet. Denn eine Berufung gegen das Urteil des Arbeitsgerichts Suhl ist möglich und durchaus vorstellbar.

Grund dafür ist ein Urteil des EuGH:
Der EuGH hatte Betroffenen eines Hackerangriffs auf bulgarische Finanzbehörden, bei dem Daten „gestohlen“ und offen im Internet veröffentlicht wurden, Schadenersatz wegen eines immateriellen Schadens zugesprochen. Die Begründung dafür: Allein die glaubhafte Angst vor einem Datenmissbrauch führe zu einem Anspruch auf Schmerzensgeld.

Diese Entscheidung des EuGH vom 14.12.2023 (Az.: C-340/21) könnte dazu führen, dass künftig auch die Anforderungen der deutschen Rechtsprechung an einen Anspruch auf Schmerzensgeld wegen einer DSGVO-Verletzung sinken. Ob das Urteil des EuGH aber letztlich geeignet ist, Grundlage für eine (erfolgreiche) Berufung gegen das Urteil des ArbG Suhl zu sein, bleibt abzuwarten.

Was wir für Sie tun können

Haben Sie Fragen zum DSGVO-konformen Umgang mit Arbeitnehmerdaten? Sprechen Sie uns gern an!

Das Wichtigste in Kürze zusammengefasst:

  • Als Arbeitgeber personenbezogene Mitarbeiterdaten via unverschlüsselter E-Mail zu versenden, ist ein Datenschutzverstoß.
  • Nicht jeder Datenschutzverstoß löst automatisch einen Anspruch auf Schadenersatz bzw. Schmerzensgeld wegen eines immateriellen Schadens aus.
  • Eine Berufung ist im Fall des ArbG Suhl möglich und vollstellbar, weil der EuGH kürzlich im Fall eines Datenlecks nach einem Hackerangriff den Anspruch auf Schmerzensgeld bejaht hatte.

Newsletter

Bleiben Sie auf dem Laufenden!
Sie möchten informiert werden, wenn ein neuer Blogbeitrag erschienen ist und erfahren, über welches Thema wir als nächstes berichten? Dann melden Sie sich hier zu unseren Newsletter an:

Zeiterfassung per Fingerabdruck? Nur mit ausdrücklicher Einwilligung des Mitarbeiters.

Blog: Arbeitsrecht
Zeiterfassung per Fingerabdruck? Nur mit ausdrücklicher Einwilligung des Mitarbeiters.
02.06.2020

Wo Du willst-Jobs: Wieviel Freiraum lässt das Arbeitsrecht?

Blog: Arbeitsrecht
Wo Du willst-Jobs: Wieviel Freiraum lässt das Arbeitsrecht? Unternehmen gewähren Mitarbeiter*innen mehr Flexibilität – Fünf Dos and Don´ts für HR.
21.06.2022
Tanja Radoux

With Great Power Comes Great Responsibility. Einige Überlegungen zur Haftung von Betriebsräten für Verstöße gegen die DSGVO.

Blog: Arbeitsrecht
With Great Power Comes Great Responsibility. Einige Überlegungen zur Haftung von Betriebsräten für Verstöße gegen die DSGVO.
30.11.2021
Jan Tibor Lelley, Tobias Vößing

Wie umgehen mit politischem Extremismus am Arbeitsplatz?

Blog: Arbeitsrecht
Wie umgehen mit politischem Extremismus am Arbeitsplatz? Welche Möglichkeiten das Arbeitsrecht im Umgang mit politischen Extremisten am Arbeitsplatz bietet.
09.01.2024
Tobias Grambow

Wenn der Geschäftsführer nichts kann.

Blog: Arbeitsrecht
Wenn der Geschäftsführer nichts kann. Über persönliche Haftung von Geschäftsführern für eigenes Unvermögen und Überwachungsverschulden.
19.12.2023
Peter Fissenewert

Was lange währt, wird schließlich gut? Das Hinweisgeberschutzgesetz kommt endlich.

Blog: Arbeitsrecht
Was lange währt, wird schließlich gut? Das Hinweisgeberschutzgesetz kommt endlich. Keine Übergangsfrist – Bearbeitung anonymer Meldungen wird Pflicht.
17.01.2023
Jan Tibor Lelley
Let’s connect

Möchten Sie Informationen zu aktuellen Rechtsentwicklungen, Einladungen zu Veranstaltungen und Seminaren von uns erhalten? Dann bitten wir Sie um Ihre ausdrückliche Einwilligung.

…zur Einwilligungserklärung

BUSE

Über die Kanzlei
Partnerinnen und Partner
Kontakt
CSR
Impressum
Datenschutzerklärung

Gespräch vereinbaren

Ihr Anliegen können wir gerne direkt in einem persönlichen Gespräch erörtern. Wir versichern Ihnen absolute Diskretion und eine professionelle und ehrliche Beratung.

…zu unseren Standorten

© BUSE · Rechtsanwälte Steuerberater Partnerschaftsgesellschaft mbB