Personenbezogene Daten besser nur verschlüsselt mailen
Arbeitgeber sollten Vorsicht im Umgang mit personenbezogenen Daten walten lassen, rät die Kanzlei WBS Legal. Auch wenn die unverschlüsselte Übermittlung einer Datenschutzauskunft nicht automatisch einen Schadensersatzanspruch begründet, ist sie eine Datenschutzverletzung.
Verlangt ein Arbeitnehmer nach Art. 15 DSGVO schriftlich Auskunft über alle über ihn gespeicherten Daten und erhält er diese sodann vom Arbeitgeber per unverschlüsselter E-Mail, so verstößt dieses Vorgehen gegen die Sicherheitsanforderungen der Datenschutzgrundverordnung, so das Arbeitsgericht (AG) Suhl.
Zum Hintergrund: Ein Arbeitnehmer erhob Klage vor dem zuständigen Arbeitsgericht in Suhl und begehrte Schadensersatz nach Art. 82 Abs. 1 DSGVO. Der Arbeitgeber habe mehrfach in erheblicher Weise gegen die DSGVO verstoßen und sei daher zu einer Geldentschädigung in Mindesthöhe von 10.000 Euro netto verpflichtet. Nach Ansicht des klagenden Arbeitnehmers habe er durch die Verstöße (Datenübermittlung mittels unverschlüsselter E-Mail, Weiterleitung an den Betriebsrat und unvollständige Auskunft) einen immateriellen Schaden erlitten, für den kein nachweisbarer separater kausaler Schaden erforderlich sei.
Klage wird abgewiesen – EuGH-Entscheidung als Leitlinie
Mit dieser Forderung scheiterte er allerdings vor Gericht, wenngleich ihm insoweit Recht gegeben wurde, dass ein Verstoß gegen Art. 5 DSGVO wegen des Versands der unverschlüsselten E-Mail vorliege.
Nach Ansicht des Gerichts habe der Kläger das Vorliegen eines konkreten immateriellen Schadens allerdings nicht ausreichend dargetan. Im vorliegenden Fall sei nicht ersichtlich, inwieweit der Kläger einen Kontrollverlust erlitten haben will. Es sei nicht ersichtlich, dass der Kläger daran gehindert wurde, die ihn betreffenden personenbezogenen Daten zu kontrollieren, so das Arbeitsgericht in seinen Urteilsgründen. Darüber hinaus stellt nach Auffassung der Kammer ein bloßer, abstrakter Kontrollverlust auch keinen konkreten immateriellen Schaden dar und bezieht sich in seiner Begründung dabei auf ein Urteil des Europäischen Gerichtshofs vom 04.05.2023 (Az.: C-300/2).
Das Arbeitsgericht Suhl wies die Klage in der Folge als unbegründet zurück und legte dem Arbeitnehmer die Verfahrenskosten auf. Obgleich der Arbeitnehmer in seiner Hauptforderung auf Schadensersatz nicht erfolgreich war, setzt das Urteil ein klares Signal hinsichtlich der Notwendigkeit einer sicheren Datenübertragung.
Quelle und mehr Informationen zum Urteil: WBS Legal
Weitere News aus dieser Kategorie
23. Dezember 2024
Gesetzliche Neuregelungen ab Januar 2025
Auch 2025 gibt es in Deutschland einige gesetzliche Änderungen für Unternehmen.…
11. November 2024
Barrierefreiheit wird für Unternehmen Pflicht
Was für öffentliche Einrichtungen bereits gilt, wird auch für die…
4. November 2024
DSGVO: LinkedIn muss 310 Millionen Euro zahlen
Die Datenschutzbehörde in Irland hat Microsofts sozialem Netzwerk LinkedIn eine…