unverschlüsselte E-Mail

Unverschlüsselte E-Mail ein DSGVO Verstoß

Das Arbeitsgericht Suhl stellte in einem jetzt veröffentlichten Urteil vom 20. Dezember 2023 klar, dass eine unverschlüsselte E-Mail die von der Datenschutz-Grundverordnung (DSGVO) geforderte angemessene Sicherheit personenbezogener Daten nicht gewährleistet. Es gab somit einem Arbeitnehmer Recht, der von seinem Arbeitgeber schriftlich Auskunft über alle über ihn gespeicherten Daten verlangt und diese unverschlüsselt per E-Mail erhalten hatte.

Der Kläger scheiterte jedoch mit seiner Hauptforderung nach Schadensersatz in Höhe von mindestens 10.000 Euro. Er habe nicht hinreichend dargelegt, dass ihm ein Schaden entstanden sei. Nach seiner Auffassung habe er durch die Form der Datenübermittlung, eine zusätzliche Weiterleitung seiner Informationen an den Betriebsrat und eine unvollständige Auskunft, einen immateriellen Schaden sowie einen Kontrollverlust erlitten. Er leitete einen Ersatzanspruch aus Artikel 82 Absatz 1 DSGVO ab. Um diesen geltend zu machen, sei aufgrund der DSGVO-Verstöße gerade kein nachweisbarer separater kausaler Schaden erforderlich. Aufgrund der mehrfachen und fortwährenden Rechtsverletzungen sowie auch Abschreckung sei ein Betrag von mindestens 10.000 Euro nebst Zinsen in Höhe von fünf Prozentpunkten angemessen.

Einen Anspruch des Arbeitnehmers auf Zahlung eines Schmerzensgeldes unter dem Gesichtspunkt der Verletzung seines Persönlichkeitsrechts sieht das Gericht ebenfalls nicht. Auch hier habe er keinen schwerwiegenden Verstoß dargelegt.

Datenschutzbeauftragte empfehlen

In der DSGVO im Grundsatzartikel 5 ist die Verschlüsselung nicht direkt erwähnt.  Der hessische Datenschutzbeauftragte Alexander Roßnagel empfiehlt, insbesondere beim Versand inhaltsverschlüsselter E-Mails, sichere Kommunikationsmittel etwa PGP, S/MIME oder Portallösungen zu nutzen. Bei denen können die Kommunikationspartner Nachrichten und Inhalte verschlüsselt abrufen und bereitstellen.

Verantwortliche müssten auf DSGVO-Basis angesichts des „Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen“, um ein angemessenes Schutzniveau zu gewährleisten.

Mein Tipp

„Sofort handeln und Stress vermeiden!“ – Auch hierfür habe ich die passende Lösung.