Auskunft per Mail – Verstoß gegen Datenschutz
Vorsicht bei der Beantwortung von datenschutzrechtlichen Auskunftsansprüchen per Mail. Das Arbeitsgericht (ArbG) Suhl hat mit Urteil vom 20.12.2023 (Az. 6 Ca 704/23) entschieden, dass die Beantwortung eines Auskunftsersuchens per unverschlüsselter E-Mail gegen die DSGVO verstößt. Einen Anspruch auf immateriellen Schadenersatz lehnte das Gericht jedoch in dem betreffenden Fall ab.
Arbeitsgericht Suhl, Urteil vom 20.12.2023 – Aktenzeichen 6 Ca 704/23
Worum geht es?
Es geht zum einen um die Frage, auf welchem Wege Arbeitgeber datenschutzrechtliche Auskunftsansprüche erfüllen sollten. Zum anderen geht es um die Frage des Bestehens eines Schadensersatzanspruchs.
Kurz zum Hintergrund: Die Arbeitsgerichte urteilten in den vergangenen Jahren reflexartig Schadensersatzansprüche aus, wenn Unternehmen den Auskunftsanspruch gemäß Art. 15 DSGVO nicht rechtzeitig oder nicht vollständig erfüllten. Dieser bisherigen Praxis schob bereits das LAG Nürnberg 2023 einen Riegel vor und stellte klar, dass die Verletzung der Auskunftspflicht nicht zu einem Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO führt. Voraussetzung für einen Schadensersatzanspruch nach Art. 82 DSGVO ist eine unrechtmäßige Datenverarbeitung und nicht nur die Verletzung einer Norm aus der DSGVO.
Der Sachverhalt
Ausgangspunkt des Rechtsstreits war die Klage eines Arbeitnehmers auf Zahlung von Schadensersatz nach Art. 82 Abs. 1 DSGVO. Der Kläger hatte von seinem Arbeitgeber auf ein Auskunftsersuchen nach Art. 15 DSGVO ein Datenblatt mit personenbezogenen Daten als Anhang einer unverschlüsselten E-Mail erhalten. Der Kläger legte daraufhin nicht nur Beschwerde bei der Datenschutzaufsichtsbehörde ein, sondern verlangte auch einen immateriellen Schadenersatz von mindestens 10.000 Euro.
Die Entscheidung
Das ArbG Suhl hat die Klage als unbegründet abgewiesen. Nach Auffassung des Gerichts liegen die Voraussetzung für einen Schadenersatzanspruch nicht vor, da der Kläger seinen vermeintlichen Schaden nicht hinreichend dargelegt hat. Zugleich stellt das Gericht jedoch fest, dass die Beantwortung der Auskunft per unverschlüsselter E-Mail einen Verstoß gegen Art. 5 lit. f DSGVO darstellt.
Was heißt das?
- Die Ablehnung eines Schadensersatzanspruchs ist richtig. Zwar hat der EuGH jüngst in der Rechtssache C-340/21 entschieden, dass auch die Befürchtung eines Datenmissbrauchs einen immateriellen Schaden darstellen kann, gleichzeitig aber betont, dass der Betroffene nachweisen muss, dass ein Verstoß gegen die DSGVO für ihn nachteilige Folgen hatte und diese einen immateriellen Schaden darstellen. Dies erfolgte hier nicht.
- Bemerkenswert ist jedoch, dass das Gericht wegen der Versendung per unverschlüsselter E-Mail einen Verstoß gegen die DSGVO annimmt. Dies überrascht, denn nach Art. 12 DSGVO können elektronisch gestellte Auskunftsersuchen grundsätzlich auch elektronisch beantwortet werden. Dies gilt jedoch nicht, wenn der Betroffene etwas anderes angibt. Im konkreten Fall hatte der Betroffene sein Ersuchen zwar per E-Mail gestellt, aber um eine schriftliche Antwort gebeten. Ob das Gericht den Verstoß auf diesen Umstand zurückgeführt hat oder tatsächlich die fehlende Verschlüsselung der E-Mail ausschlaggebend war, bleibt leider unklar.
Handlungsempfehlung Der Umgang mit Auskunftsersuchen stellt Unternehmen typischerweise vor große Herausforderungen. Neben der Identifizierung der Betroffenen, den engen Fristen und dem Umfang der Auskunft kann auch die Übermittlung der Antwort problematisch sein. Im besten Fall werden Alternativen zur unverschlüsselten E-Mail genutzt, z.B. ein gesichertes Nutzerkonto. |
Autorin: Frau Dr. Felisiak von Eversheds Sutherland (Germany) Rechtsanwälte.