Nur verschlüsselte E-Mails sind DSGVO-konform

Am 22. Dezember 2021 hatte der Kläger Auskunft von seinem Arbeitgeber über alle über ihn gespeicherten Daten in schriftlicher Form verlangt. Zwei Tage später übersandte der ihm die gewünschte Übersicht in einer unverschlüsselten Antwort-E-Mail und leitete die Daten des Klägers anschließend ohne dessen Zustimmung an den Betriebsrat weiter. Im Frühjahr 2022 erhielt der Kläger dann eine weitere Auskunft per Post, die er später für unvollständig befand.

In der Folge erhob der Mann Beschwerde über Datenschutzverletzungen beim Thüringer Landesbeauftragen für den Datenschutz und die Informationsfreiheit (TLfDI). Von der Behörde wurde ihm daraufhin mitgeteilt, dass nach Auffassung des TLfDI die Auskunftserteilung mittels unverschlüsselter E-Mail gegen Art. 5 Abs.1 Buchst. f DSGVO verstoße.

Schließlich klagte der Mann auf einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO. Sein Arbeitgeber habe mehrfach in erheblicher Weise gegen die DSGVO verstoßen und sei daher zu einer Geldentschädigung in Mindesthöhe von 10.000 Euro netto verpflichtet. Seine Argumentation: Verursacht durch die Verstöße (Datenübermittlung mittels unverschlüsselter E-Mail, Weiterleitung an den Betriebsrat und unvollständige Auskunft) habe der Kläger einen immateriellen Schaden erlitten.

Das Gericht wies die Klage als unbegründet zurück. Dem Kläger stehe kein Anspruch auf Ersatz des von ihm geltend gemachten immateriellen Schadens zu, da er nicht glaubhaft darlegen konnte, dass es zu einem Schaden gekommen sei. Gleichzeitig bestätigten die Richter die Einschätzung des Datenschutzbeauftragten, dass mit dem Versand personenbezogener Daten via unverschlüsselter sehr wohl ein Verstoß gegen Art. 5 DSGVO vorlag.

Dieser allein rechtfertige jedoch keinen Schadenersatz. Vielmehr sei es nötig, dass sowohl der Schaden als auch der Kausalzusammenhang zwischen Verstoß und Schaden durch den Kläger nachgewiesen werden kann.

Auch einen Anspruch des Arbeitnehmers auf Zahlung eines Schmerzensgeldes wegen einer Verletzung seines Persönlichkeitsrechts sah das Gericht nicht, da hier vom Kläger kein schwerwiegender Verstoß dargelegt werden konnte. Eine Berufung hat die Kammer nur zugelassen, wenn der Kläger nachweisen kann, dass der Wert des Beschwerdegegenstandes 600 Euro übersteigt. Völlig aussichtslos dürfte der Gang vor die höhere Instanz prinzipiell nicht sein.

Im Falle einer Berufung ist der Kläger womöglich nicht komplett chancenlos. Der Europäische Gerichtshof (EuGH) urteilte am 14. Dezember, dass schon die Sorge, dass persönliche Daten missbraucht wurden, einen Schaden darstellen kann (zm berichtete).