Die Datenschutz-Grundverordnung (DSGVO) schreibt vor, dass bei der Übermittlung personenbezogener Daten angemessene Sicherheitsvorkehrungen beachtet werden müssen. Laut der Gesetzgebung ist eine unverschlüsselte Mail mit personenbezogenen Daten nicht zulässig.

Arbeitnehmer klagt wegen unverschlüsselter Auskunft

Vor dem Arbeitsgericht Suhl hatte ein Arbeitnehmer wegen der Weitergabe unverschlüsselter personenbezogener Daten. Er hatte schriftliche Auskunft über alle Daten verlangt, die das Unternehmen über ihn gespeichert hat.Der Arbeitgeber ist dieser Forderung nachgekommen und hat den Datensatz per Mail übermittelt. Der Arbeitnehmer hatte sich bei dem Thüringer Datenschutzbeauftragten Lutz Hasse über die unverschlüsselte Übermittlung beschwert, ging danach vor Gericht.

Der Kläger gab vor Gericht an, dass die Daten nicht vollständig waren und zusätzlich an den Betriebsrat gesendet wurden. Er hätte durch die unverschlüsselte Mail einen Kontrollverlust und immateriellen Schaden erlitten. Aufgrund dessen stellte er einen Ersatzanspruch nach Artikel 82Absatz1 DSGVO und forderte wegen „mehrfacher und fortwährender Rechtsverletzungen“ (unverschlüsselte Mails) und zur „Abschreckung“ einen Betrag von mindestens 10.000 Euro plus Zinsen in Höhe von fünf Prozentpunkten.

Gerichtsurteil: unverschlüsselte Mails sind rechtswidrig

Am 20. Dezember 2023 wurde das Urteil in diesem Fall gesprochen. Das Gericht gab dem Kläger recht, dass Mails mit personenbezogenen Daten nicht unverschlüsselt gesendet werden dürfen.

Die Schadensersatzforderung entsprach das Gericht nicht und wies sie als unbegründet zurück. Laut Richter ist für einen Anspruch auf Schadensersatz neben einer Rechtsverletzung „auch ein Schaden sowie ein Kausalzusammenhang zwischen Verstoß und Schaden erforderlich“. Das Vorliegen eines konkreten immateriellen Schadens habe der Kläger nicht ausreichend dargestellt und erläutert. Es war für das Gericht auch nicht ersichtlich, dass der Kläger „daran gehindert wurde, die ihn betreffenden personenbezogenen Daten zu kontrollieren“.

Auch einer Zahlung von Schmerzensgeld aufgrund der Verletzung des Persönlichkeitsrechts des Klägers stimmte das Gericht nicht zu, darauf besteht in diesem Fall kein Anspruch, da kein schwerwiegender Verstoß vorliegt. Der Kläger muss die Kosten des Verfahrens tragen. Eine Berufung wird nur zugelassen, wenn der Kläger beweisen kann, dass der „Wert des Beschwerdegegenstands“ 600 Euro übersteigt.

Datenschutz muss gewährleistet sein

Unternehmen sollten in der Kommunikation personenbezogener Daten grundsätzlich auf eine sichere Verschlüsselung achten. Die DSGVO schreibt vor, dass Verantwortliche angesichts des „Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische undorganisatorische Maßnahmen“ treffen müssen.