In einem jetzt veröffentlichten Urteil vom 20. Dezember 2023 hat das Arbeitsgericht Suhl festgestellt, dass der Versand unverschlüssleter E-Mails als nicht die Sicherheitsanforderungen der DSGVO erfüllt. Das Gericht schloss sich damit der Auffassung des Thüringer Datenschutzbeauftragten an, bei dem der Kläger sich vorab beschwert hatte.
Der Kläger hatte von seinem Arbeitgeber schriftlich Auskunft über die zu ihm gespeicherten Daten verlangt und diese unverschlüsselt per E-Mail erhalten. Darüber hinaus hatte der Arbeitgeber diese Daten – ebenfalls unverschlüsselt – an den Betriebsrat gesandt. Der Kläger verlangte nun Schadensersatz in Höhe von mindestens 10.000 EUR. Mit dieser Hauptforderung scheiterte er allerdings vor Gericht, da er einen Schaden nicht hinreichend nachweisen konnte, und wies die klage folglich als unbegründet zurück.
Der EuGH hatte kurz zuvor in einer Entscheidung bestätigt, dass allein die Sorge über den Missbrauch personenbezogener Daten einen Schadensersatzgrund darstellen kann, jedoch auch darauf hingewiesen, dass dieser Schaden (im Beispiel die erlittenen Ängste) nachgewiesen werden muss.
Grundsätzlich schreibt die Datenschutz-Grundverordnung nicht explizit die Verschlüsselung von E-Mails vor. Sie stellt aber darauf ab, dass „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos … geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“ getroffen werden müssen (vgl. Art. 32 DSGVO). Der Versand nicht inhaltsverschlüsselter E-Mails im Fall der Übermittlung personenbezogener Daten stellt aus dieser Perspektive unstreitig einen Verstoß dar.
Urteil: https://landesrecht.thueringen.de/bsth/document/JURE240000286/part/L
Sprechen wir miteinander!
Haben Sie Fragen zu Digitalisierung, Cybersicherheit oder Compliance für Ihr Unternehmen? Sind Sie Projektverantwortlicher, betrieblicher Datenschutzbeauftragter oder Compliancebeauftragter und möchten mit einem Sparrings-Partner auf Augenhöhe diskutieren? Und das Ganze am Besten ohne Panikmache und mit einem gesunden Schuss Pragmatismus? Dann sollten wir miteinander sprechen.
Der Autor
Falk Schmidt ist Projektberater für digitale Geschäftsprozesse, Cyber Security sowie zertifizierter Datenschutzbeauftragter und Datenschutz-Auditor Als Lehrbeauftragter an der Technischen Hochschule Mittelhessen (THM) vermittelt er Datenschutz-Themen an Studierende.
Die hier erscheinenden Artikel illustrieren seine private und/oder berufliche Meinung, stellen jedoch keine Rechtsberatung im Sinne des RDG dar.