Art. 15 DSGVO gibt Betroffenen das Recht, Auskunft über gespeicherte personenbezogene Daten zu erhalten. Wenn diese Auskunft unverschlüsselt per E-Mail erfolgt, verstößt das gegen die DSGVO, entschied nun das Arbeitsgericht Suhl (ArbG Suhl, Urteil vom 20.12.2023, Az. 6 Ca 704/23).
Der Kläger begehrte per E-Mail Auskunft von der Beklagten über alle über ihn gespeicherten Daten in schriftlicher Form. Die Beklagte übersandte dem Kläger daraufhin eine Übersicht der digital verarbeiteten Daten – per unverschlüsselter E-Mail. Darüber hinaus wurden die gespeicherten personenbezogenen Daten des Klägers ohne dessen Zustimmung an den Betriebsrat weitergeleitet. Außerdem rügte der Kläger eine unvollständige Erteilung der Datenauskunft.
Unverschlüsselte Übermittlung verstößt gegen Art. 5 DSGVO
Der Kläger erhob Beschwerde beim Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI). Der TLfDI war der Auffassung, dass die Erteilung der Auskunft mittels unverschlüsselter E-Mail gegen Art. 5 Abs. 1 lit. f DSGVO verstößt. Danach müssen personenbezogene Daten „in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (‚Integrität und Vertraulichkeit‘)“. Der TLfDI sah einen Verstoß gegen die DSGVO, da auf den Antrag des Klägers ein Datenblatt mit personenbezogenen Daten im PDF-Format als Anhang einer unverschlüsselten E-Mail übersandt wurde.
Keinen Schaden dargelegt
Einen solchen Verstoß bejahte auch das ArbG Suhl. Ob auch die Weiterleitung der Daten an den Betriebsrat und die monierte unvollständige Auskunftserteilung Verstöße gegen Regelungen der DSGVO darstellen, ließ das Gericht dahinstehen. Der Kläger, der Schadenersatz nach Art. 82 DSGVO verlangte, habe nämlich keinen Schaden dargelegt, weshalb eine Entscheidung darüber nicht erforderlich sei.
DSGVO-Schadenersatz nur bei Vorliegen von kausalem Schaden
Ein bloßer Verstoß gegen die DSGVO genüge nicht bereits für das Entstehen eines Schadensersatzanspruches, so das ArbG Suhl. Nicht jeder Verstoß gegen die Bestimmungen der DSGVO eröffne für sich genommen den Schadenersatzanspruch der betroffenen Person im Sinne von Art. 4 Nr. 1 DSGVO. Eine solche Auslegung liefe dem Wortlaut von Art. 82 Abs. 1 DSGVO zuwider. Für den Anspruch auf Schadensersatz nach Art 82 DSGVO sei neben einem Verstoß auch ein Schaden sowie ein Kausalzusammenhang zwischen Verstoß und Schaden erforderlich.
Bloßer Kontrollverlust ist kein Schaden
Der Kläger müsse einen etwaigen immateriellen Schaden darlegen und gegebenenfalls nachweisen. Dass der Kläger daran gehindert worden sei, die ihn betreffenden personenbezogenen Daten zu kontrollieren, sei nicht ersichtlich. Ein bloßer, abstrakter Kontrollverlust stellt nach Auffassung der Kammer des ArbG Suhl keinen konkreten immateriellen Schaden dar.
Das ArbG Suhl ließ die Berufung zu.