Das Arbeitsgericht Suhl hat kürzlich in einem interessanten Fall entschieden, dass die unverschlüsselte Übermittlung einer Auskunft nach Art. 15 DS-GVO per E-Mail einen Verstoß gegen Art. 5 Abs. 1 DS-GVO darstellt. Doch bedeutet das automatisch Schadensersatz für die betroffene Person? In diesem Blogbeitrag werden wir die Entscheidung des Gerichts näher beleuchten und ihre möglichen Auswirkungen auf die Praxis diskutieren.

I. Sachverhalt

Ein ehemaliger Mitarbeiter forderte von seinem ehemaligen Arbeitgeber eine Auskunft über die zu seiner Person gespeicherten Daten gemäß Art. 15 DS-GVO. Die Antwort des Arbeitgebers erfolgte jedoch per unverschlüsselter E-Mail, und die gespeicherten personenbezogenen Daten wurden auch ohne Einwilligung des Mitarbeiters an den Betriebsrat weitergeleitet. Erst später erfolgte die Auskunft per Post.

Die betroffene Person beschwerte sich daraufhin bei der Datenschutzbehörde wegen möglicher Datenschutzverstöße. Die Behörde stellte fest, dass die unverschlüsselte Übermittlung per E-Mail gegen Art. 5 Abs. 1 DS-GVO verstößt.

II. Entscheidung des ArbG Suhl

Der betroffene Mitarbeiter forderte daraufhin Schadensersatz gemäß Art. 82 Abs. 1 DS-GVO und argumentierte, dass der Arbeitgeber mehrfach gegen die DS-GVO verstoßen habe, was zu einem immateriellen Schaden führe. Der Arbeitgeber bestritt diesen Anspruch und argumentierte, dass die Weitergabe der Daten an den Betriebsrat aufgrund gesetzlicher Bestimmungen zulässig sei.

Das Arbeitsgericht Suhl entschied, dass der Mitarbeiter keinen Anspruch auf Schadensersatz habe, da er keinen konkreten immateriellen Schaden dargelegt habe. Ein einfacher Verstoß gegen die DS-GVO reiche nicht aus, um einen Schadensersatzanspruch zu begründen. Es müsse auch ein nachweisbarer Zusammenhang zwischen dem Verstoß und dem erlittenen Schaden bestehen.

III. Bewertung

Die Entscheidung des Arbeitsgerichts Suhl basiert auf der aktuellen Rechtsprechung des Europäischen Gerichtshofs (EuGH) und stellt klar, dass ein bloßer Verstoß gegen die DS-GVO nicht automatisch Schadensersatzansprüche auslöst. Es muss nachgewiesen werden, dass tatsächlich ein immaterieller Schaden erlitten wurde.

Was die unverschlüsselte Übermittlung per E-Mail betrifft, so ist zu beachten, dass die Landesdatenschutzbehörden grundsätzlich davon ausgehen, dass eine Transportverschlüsselung ausreicht, es sei denn, es handelt sich um sensible Daten. In diesem Fall könnte eine Ende-zu-Ende-Verschlüsselung erforderlich sein.

IV. Praxisfolgen

Die Bearbeitung von Auskunftsersuchen gemäß DS-GVO kann eine komplexe Aufgabe sein. Unternehmen sollten sicherstellen, dass sie die erforderlichen technischen und organisatorischen Maßnahmen ergreifen, um die Sicherheit der übermittelten Daten zu gewährleisten. Dies kann die Verwendung von Transport- oder Ende-zu-Ende-Verschlüsselung, sichere Links zu geschützten Webseiten oder andere geeignete Maßnahmen umfassen.

Es ist auch wichtig zu beachten, dass die Einwilligung des Betroffenen in den unverschlüsselten Versand von Auskünften möglicherweise nicht ausreicht, um einen Verstoß gegen die DS-GVO zu umgehen, wie es in einem Fall vor dem OLG Düsseldorf festgestellt wurde. Dem entgegen allerdings die DSK.

Insgesamt zeigt die Entscheidung des Arbeitsgerichts Suhl die Bedeutung einer sorgfältigen Umsetzung der Datenschutzbestimmungen und der Schutzmaßnahmen bei der Übermittlung von Daten gemäß DS-GVO. Unternehmen sollten sicherstellen, dass sie die aktuellen Best Practices in Bezug auf Datenschutz und Datensicherheit befolgen, um mögliche rechtliche Konsequenzen zu vermeiden.

[Hinweis: Dieser Blogbeitrag stellt keine Rechtsberatung dar und dient nur zu Informationszwecken. Bei konkreten rechtlichen Fragen sollten Sie sich an einen Rechtsanwalt wenden.]