Auskunft mittels unverschlüsselter E-Mail. Ein Verstoß?

Eine Besprechung der Entscheidung des ArbG Suhl v. 20.12.2023 zu Auskunft per unverschlüsselter E-Mail und Schadensersatz nach Art. 82 DSGVO.

Hintergrund & Sachverhalt

Wieder einmal eine Entscheidung, die bei Datenschutzbeauftragten, Rechtsabteilungen und Personalern für viel Aufregung und Unsicherheit sorgt. Das Arbeitsgericht Suhl – das liegt in Thüringen – hat in einem Urteil vom 20. Dezember 2023 (Az.: 6 Ca 704/23) diskussionswürdige Feststellungen dazu getroffen, in welcher Form ein Auskunftsersuchen nach Art. 15 DSGVO gegenüber einem Beschäftigten zu beantworten ist. Im Fokus der Entscheidung stehen Fragen rund um die Sicherheit der Übermittlung, also die Verschlüsselung der Daten, sowie eventuelle Schadensersatzansprüche bei Verletzung diesbezüglicher Pflichten durch Verantwortliche.

In dem Fall begehrte ein ehemaliger Beschäftigter eines Unternehmens Auskunft über die dort zu seiner Person gespeicherten personenbezogenen Daten gemäß Art. 15 DSGVO. Die entsprechende Anfrage sendete er selbst per E-Mail an das Unternehmen, verlangte aber eine Antwort in schriftlicher Form. Nichtsdestotrotz erhielt er die Auskunft durch das Unternehmen ziemlich genau einen Monat später per „unverschlüsselter“ E-Mail. Gleichzeitig wurden diese Daten offenbar an den Betriebsrat weitergeleitet.

Hierin sah dieser ehemalige Beschäftigte eine Verletzung datenschutzrechtlicher Vorschriften. Konkret machte er eine Verletzung von Art. 5 Abs. 1 lit. f) DSGVO geltend. Die Versendung der ihn betreffenden personenbezogenen Daten im Rahmen der Auskunft per unverschlüsselter E-Mail verstoße gegen das in dieser Vorschrift festgelegte Gebot,  eine angemessene Sicherheit der personenbezogenen Daten zu gewährleisten. Zusätzlich sei die Auskunft unvollständig gewesen. Hierüber beschwerte er sich bei dem thüringischen Landesbeauftragten für Datenschutz und Informationssicherheit, welcher seiner Beschwerde statt gab.

Mit seiner Klage vor dem Arbeitsgericht begehrte er von seinem ehemaligen Arbeitgeber wegen dieser Verletzung Schadenersatz in Höhe von 10.000 € gem. Art. 82 DSGVO. Dabei berief er sich darauf, dass er durch die Verstöße (Datenübermittlung mittels unverschlüsselter E-Mail, Weiterleitung an den Betriebsrat und unvollständige Auskunft) einen immateriellen Schaden erlitten habe. Jedenfalls durch die unverschlüsselte und bis heute nicht vollständig erteilte Auskunft habe er einen Kontrollverlust erlitten, der als solcher zu qualifizieren sei. Er war der Auffassung, dass hierzu kein nachweisbarer separater kausaler Schaden dargelegt werden muss, sondern bereits ein Verstoß gegen die DSGVO genüge. Aufgrund der mehrfachen und fortwährenden Verstöße als auch zur Erzielung einer Abschreckungswirkung sei ein Betrag von 10.000 € angemessen.

Das Gericht bejahte zwar die Verletzung der erwähnten Vorschriften der DSGVO, hielt den Anspruch auf Schadensersatz aber für nicht begründet.

Entscheidung des Gerichts: Unverschlüsselte E-Mail ist Datenschutzverletzung

Diese aktuelle Entscheidung ist in zweifacher Hinsicht extrem relevant und bemerkenswert. Die Frage nach der Art und Weise, wie personenbezogene Daten beim Versand geschützt werden müssen, insbesondere ob E-Mails zwingend zu verschlüsseln sind, ist hoch umstritten. Ähnliches betrifft die Frage, unter welchen Umständen ein immaterieller Schadensersatz geltend gemacht werden kann.

In Bezug darauf ist das Urteil des Arbeitsgerichts Suhl in einer Hinsicht enttäuschend (bezüglich der Frage der E-Mail Verschlüsselung) und in anderer Hinsicht durchaus begrüßenswert (bezüglich des immateriellen Schadens).

Bei der Erörterung und letztendlichen Bejagung der Frage, ob die Erteilung von Auskünften nach Art. 15 DSGVO an (ehemalige) Beschäftigte per „unverschlüsselter“ E-Mail erfolgen darf, machte sich das Gericht leider sehr einfach. Insoweit wird ohne weitere Diskussion festgestellt, dass der Versand entsprechender personenbezogenen Daten in einer E-Mail ohne Verschlüsselung ein Verstoß gegen Art. 5 Abs. 1 lit. f) DSGVO sei. Das Gericht begründet oder diskutiert dies leider in keiner Weise. Auch wird an keiner Stelle des Urteils darauf eingegangen, welche Art der Verschlüsselung denn überhaupt zu fordern ist. Wäre also eine Transportverschlüsselungen ausreichend gewesen, oder ist eine Ende zu Ende Verschlüsselung zwingend? Das Gericht bleibt hier Antworten schuldig. Fairerweise muss man sagen, dass die Richter hier Bezug auf den Bescheid des Landesbeauftragten nehmen, welcher in der veröffentlichten Entscheidung leider nicht mit abgedruckt ist. Wir können nicht ausschließen, dass dort etwas mehr an Begründung zu diesem Thema enthalten ist.

Mit der Frage, welche Voraussetzungen erfüllt sein müssen, damit ein Kläger einen Anspruch auf immateriellen Schadenersatz nach Art. 82 DSGVO geltend machen kann, hat sich das Gericht erfreulicherweise etwas umfassender auseinandergesetzt. Im Ergebnis wird hierzu die Meinung vertreten, dass der Kläger eine konkrete Verletzung sowie ein Kausalzusammenhang mit der Pflichtverletzung darlegen muss. Ein bloßer Verstoß gegen die Vorgaben der DSGVO sei alleine nicht ausreichend, um einen solchen Anspruch zu begründen. Insoweit erschienen dem Gericht die bloße Berufung auf einen behaupteten Kontrollverlust nicht ausreichend. Das Gericht beschäftigt sich an dieser Stelle ausführlich mit der einschlägigen Rechtsprechung. Im Ergebnis gut begründet und durchaus begrüßenswert im Sinne der Rechtssicherheit.

Bewertung & Bedeutung für die Praxis

Leider ist das Urteil des Arbeitsgerichts Suhl bezüglich der extrem praxisrelevanten Frage, inwieweit E-Mails verschlüsselt werden müssen, außerordentlich unergiebig, um es vorsichtig auszudrücken.

Umstritten ist in dieser Hinsicht weniger, ob E-Mails überhaupt verschlüsselt werden müssen, sondern welche Art der Verschlüsselung ausreichend ist. Grundlegend unterscheidet man zwischen Transportverschlüsselung und Ende-zu-Ende-Verschlüsselung. Bei Ersterer ist, wie der Name vermuten lässt, eine E-Mail jedenfalls während ihres Transport vom Server des Absenders zum Server des Empfängers, bzw. dessen Providers, verschlüsselt. Die Mail wird dann allerdings entschlüsselt, sobald sie auf dem Server des Empfängers angekommen ist. Hier besteht insbesondere das Risiko, dass Anbieter von Internet-E-Mail-Diensten Zugriff auf die in den Mails enthaltenen Daten erhalten können.

Bei der Ende zu Ende Verschlüsselung hingegen wird ein Verfahren angewendet, bei dem tatsächlich nur der Empfänger selbst den Schlüssel in den Händen hält, mit dem der Inhalt der E-Mail gelesen werden kann. Gängige Verfahren sind etwa S/MIME oder PGP.

Erst Ende des vergangenen Jahres entbrannte ein heftiger Streit zwischen Bremer Rechtsanwälten und der dortigen Datenschutzaufsichtsbehörde darüber, ob jegliche anwaltliche Korrespondenz grundsätzlich Ende-zu-Ende verschlüsselt werden muss. Dies ist zumindest die Auffassung der dortigen Aufsichtsbehörde. Differenzierter widmet sich dieser Frage die Datenschutzkonferenz, also der Zusammenschluss der Aufsichtsbehörden für den Datenschutz von Bund und Ländern, in einer Orientierungshilfe. Danach muss ein Verantwortlicher zunächst feststellen, wie hoch das Risiko ist, dass der Betroffene erhebliche Nachteile erfährt, sollten die zu übermittelnden Daten in falsche Hände geraten. Bei einem hohen Risiko ist die Ende-zu-Ende Verschlüsselung zwingend, ansonsten reicht Transportverschlüsselung aus.

Ähnlich sehen es auch andere Gerichte. So hat beispielsweise das VG Mainz in eben diesem Sinne entschieden, dass mitnichten in jedem Fall eine Ende zu Ende Verschlüsselung angezeigt ist.

Leider äußert sich das Arbeitsgericht Suhl zu dieser Frage überhaupt nicht sondern stellt pauschal fest, dass eine „unverschlüsselte“ E-Mail einen Verstoß gegen die DSGVO bedeute. Das ist schon allein deswegen abwegig, weil der Versand vollkommen unverschlüsselter E-Mails heutzutage eine absolute Rarität sein dürfte. Nahezu alle Provider setzen standardmäßig Transportverschlüsselung ein. Wir gehen davon aus, dass auch in diesem Fall die E-Mails jedenfalls transportverschlüsselt gewesen sind und nicht tatsächlich unverschlüsselt. Ob darüber hinaus eine Ende zu Ende Verschlüsselung angezeigt gewesen wäre, darüber lässt sich streiten. Im Falle der Übermittlung von, wahrscheinlich recht sensiblen, personenbezogenen Daten aus Personalakten ist das durchaus naheliegend. In dem zu entscheidenden Fall kam zugegebenermaßen erschwerend hinzu, dass der Kläger ausdrücklich um eine schriftliche Übermittlung, also per Post, gebeten hatte. Jedenfalls aber hätte dies einer genaueren Prüfung unterzogen werden müssen.

Dieses ist auch unsere Empfehlung für die Praxis. Jedes Unternehmen muss für sich festlegen, welche Arten von E-Mails mit Transportverschlüsselung geschützt werden und in welchen Fällen ergänzende Schutzmaßnahmen zu treffen sind. Beim Versand sensibler Personaldaten empfehlen wir regelmäßig zusätzliche Schutzmaßnahmen. Gerne unterstützen wir Sie bei der Erstellung eines entsprechenden Konzepts.

Zu begrüßen sind aus unserer Sicht die Feststellung des Gerichts zur Frage des immateriellen Schadens. Dieses erteilt mit guten Argumenten pauschalen Schadensersatzansprüchen aufgrund eines bloß behaupteten Kontrollverlust eine deutliche Absage. Wer, wie im vorliegenden Fall, nicht unerhebliche Geldsummen geltend macht, muss sich also auch künftig etwas mehr Mühe geben, einen entsprechenden Anspruch zu substantiieren. Dies lässt den ein oder anderen vielleicht etwas ruhiger schlafen. Unabhängig von der Frage des Schadensersatze können Aufsichtsbehörden aber weiterhin Bußgelder wegen derartiger Verstöße gegen Unternehmen verhängen.

Hat Ihnen der Artikel gefallen? Abonnieren Sie gerne unseren Newsletter, um immer auf dem neuesten Stand in Sachen Datenschutz zu bleiben!