Unverschlüsselte E-Mail nicht DSGVO-konform

In einem jetzt veröffentlichten Urteil vom 20. Dezember 2023 hat das Arbeitsgericht Suhl festgestellt, dass der Versand unverschlüssleter E-Mails als nicht die Sicherheitsanforderungen der DSGVO erfüllt. Das Gericht schloss sich damit der Auffassung des Thüringer Datenschutzbeauftragten an, bei dem der Kläger sich vorab beschwert hatte.

Der Kläger hatte von seinem Arbeitgeber schriftlich Auskunft über die zu ihm gespeicherten Daten verlangt und diese unverschlüsselt per E-Mail erhalten. Darüber hinaus hatte der Arbeitgeber diese Daten – ebenfalls unverschlüsselt – an den Betriebsrat gesandt. Der Kläger verlangte nun Schadensersatz in Höhe von mindestens 10.000 EUR. Mit dieser Hauptforderung scheiterte er allerdings vor Gericht, da er einen Schaden nicht hinreichend nachweisen konnte, und wies die klage folglich als unbegründet zurück.

Der EuGH hatte kurz zuvor in einer Entscheidung bestätigt, dass allein die Sorge über den Missbrauch personenbezogener Daten einen Schadensersatzgrund darstellen kann, jedoch auch darauf hingewiesen, dass dieser Schaden (im Beispiel die erlittenen Ängste) nachgewiesen werden muss.

Grundsätzlich schreibt die Datenschutz-Grundverordnung nicht explizit die Verschlüsselung von E-Mails vor. Sie stellt aber darauf ab, dass „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos … geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“ getroffen werden müssen (vgl. Art. 32 DSGVO). Der Versand nicht inhaltsverschlüsselter E-Mails im Fall der Übermittlung personenbezogener Daten stellt aus dieser Perspektive unstreitig einen Verstoß dar. 

Urteil: https://landesrecht.thueringen.de/bsth/document/JURE240000286/part/L