Die Beantwortung von Auskunftsersuchen von Privatpersonen kommt im Arbeitsalltag von Unternehmen immer häufiger vor. Hierbei ist es zunächst für die Unternehmen wichtig, die personenbezogenen Daten von z.B. Kunden so abgelegt zu haben, dass die Beantwortung einer Auskunft auch jederzeit möglich ist. Aber dies ist nicht alles: Auch beim Versand der Auskunft an die Privatperson gibt es einiges zu beachten.

Grundsätzlich gilt, dass nur verschlüsselte E-Mails DSGVO-konform sind. Insbesondere Auskünfte sollten daher nicht einfach unverschlüsselt über das E-Mail-Programm versendet werden. Zwar begründet der Versand einer solchen E-Mail laut dem Arbeitsgericht Suhl nicht automatisch einen Schadensersatzanspruch (siehe nachfolgender Fall), dennoch ist besondere Vorsicht geboten. Schließlich werden insbesondere Auskunftsersuchen oftmals gerade deshalb angefordert, weil Betroffene den Eindruck haben, dass mit ihren Daten nicht DSGVO-konform umgegangen wird.

Im vorliegenden Fall des Arbeitsgerichts Suhl hatte ein Arbeitnehmer gemäß Art. 15 DSGVO im Dezember 2021 eine schriftliche Auskunft über die von ihm gespeicherten Daten bei seinem Arbeitgeber angefragt. Diesem Auskunftsersuchen kam der Arbeitgeber nach und übersandte bereits am Folgetag über eine unverschlüsselte E-Mail eine PDF-Übersicht der digital verarbeiteten Daten. Darüber hinaus wurden die mitgeteilten Daten des Arbeitnehmers ebenfalls an den Betriebsrat des Unternehmens weitergeleitet. Eine Zustimmung des Arbeitnehmers für diese Weiterleitung wurde dabei nicht eingeholt. Weiterhin erhielt der Arbeitnehmer im Frühjahr 2022 noch eine weitere Auskunft per Post, die allerdings unvollständig gewesen sei.

Der Arbeitnehmer beschwerte sich daraufhin beim Thüringer Landesbeauftragen für den Datenschutz und die Informationsfreiheit (TLfDI). Dieser wiederum teilte dem Arbeitnehmer im Januar 2023 mit, dass nach seiner Auffassung der Arbeitgeber gegen den Art. 5 Abs.1 Buchst. f) DSGVO (Grundsätze der Verarbeitung, „Integrität und Vertraulichkeit“) verstößt, indem dieser die Auskunft über unverschlüsselte E-Mail-Kommunikation übermittelt hatte. Aufgrund dessen erhob der Arbeitnehmer Klage vor dem Arbeitsgericht in Suhl. Nach Ansicht des Arbeitnehmers habe er durch die Verstöße des Arbeitgebers (u.a. Datenübermittlung mittels unverschlüsselter E-Mail, Weiterleitung an den Betriebsrat und unvollständige Auskunft) einen immateriellen Schaden erlitten und forderte daraufhin Schadensersatz nach Art. 82 Abs. 1 DSGVO.

Mit dieser Forderung scheiterte der Arbeitnehmer allerdings vor dem Arbeitsgericht Suhl. Zwar gab das Gericht ihm Recht, dass mit der Versendung der unverschlüsselten E-Mails gegen den Grundsatz der Integrität und Vertraulichkeit verstoßen wurde, dennoch kam das Arbeitsgericht zu dem Ergebnis, dass der Arbeitnehmer keinen tatsächlichen Schaden erlitten hatte und verwies dabei auf ein EuGH-Urteil vom 04.05.2023 (Az.: C-300/2). In diesem hatte der EuGH ausgeführt, dass für einen Anspruch auf Schadensersatz nach Art. 82 DSGVO neben einem Verstoß auch ein tatsächlicher Schaden sowie ein direkter Zusammenhang zwischen Verstoß und Schaden erforderlich ist.

Nichtsdestotrotz verdeutlicht dieser Fall, dass beim Beantworten eines Auskunftsersuchens Vorsicht geboten ist und dass entweder auf eine verschlüsselte E-Mail-Übertragung oder den altmodischen Weg (per Post) zurückgegriffen werden sollte.

Quellenangabe:

  • Artikel „Nur verschlüsselte E-Mails sind DSGVO-konform“, abgerufen am 30.07.2024 unter: https://www.wbs.legal/arbeitsrecht/datenschutzverstoss-durch-arbeitgeber-nur-verschluesselte-e-mails-sind-dsgvo-konform-71406/