Überblick
Rechtsgebiete

ArG: Unverschlüsselte E-Mail = 10.000 € Schadenersatz vom Arbeitgeber?

Datenauskunft Art 15 DSGVO Schadenersatz

Wir hatten bereits in vorangegangenen Beiträgen anhand von ergangenen Urteilen dargestellt, wie kritisch die Vermischung von Arbeitsrecht und Datenschutzrecht für Arbeitgeber sein kann:

Dabei zeigen auch neuer Auswertungen, dass Arbeitsgerichte Arbeitnehmern signifikant höhere Schmerzensgeldbeträge gem. Art. 82 DSGVO zuerkennen. 

Dies wird durch ein weiteres, arbeitsgerichtliches Urteil (ArbG Suhl –  6 Ca 704/23 – vom 20.12.2023) ergänzt, das nach der wegweisenden EuGH-Entscheidung zum Schadenersatz [VIDEO] nach einem Datenschutzvorfall erging. 

Sachverhalt

Ein ehemaliger Arbeitnehmer forderte die Datenauskunft gem. Art. 15 DSGVO, die der Arbeitgeber mit normaler E-Mail erteilte. Zudem wurden diese ohne Zustimmung an den Betriebsrat weitergeleitet. 

Der Arbeitnehmer forderte eine weitergehende Datenauskunft und erhob insgesamt zwei Beschwerden beim Thüringer Landesbeauftragen für den Datenschutz und die Informationsfreiheit.

Der Thüringer Landesbeauftrage für den Datenschutz und die Informationsfreiheit kam zum Ergebnis, dass die Übermittlung der Auskunft per E-Mail gegen die DSGVO verstieß. 

Der ehemalige Arbeitnehmer verklagte den Arbeitgeber wegen des Datenschutzverstoßes auf mindestens 10.000,00 € Schmerzensgeld. 

Entscheidung 

Das Arbeitsgericht Suhl kam zum Ergebnis, dass kein Schaden vorlag und wies die Klage ab. 

Das Vorliegen eines konkreten immateriellen Schadens habe der Arbeitnehmer nicht ausreichend dargetan. Im vorliegenden Fall sei nicht ersichtlich, inwieweit der Kläger einen Kontrollverlust erlitten haben will. Es sei nicht ersichtlich, dass der Kläger daran gehindert wurde, die ihn betreffenden personenbezogenen Daten zu kontrollieren. Darüber hinaus stellt nach Auffassung der Kammer ein bloßer, abstrakter Kontrollverlust auch keinen konkreten immateriellen Schaden dar.

Auch ein Eingriff in das Allgemeine Persönlichkeitsrecht sei nicht gegeben.

Einordnung 

Die Entscheidung ist trotz ihrer Kürze im Detail äußerst interessant. 

Denn es stand unstreitig fest, dass ein Datenschutzverstoß durch die unverschlüsselte Übersendung der Auskunft per E-Mail vorlag. 

Bei dem angesetzten Schmerzensgeldbetrag gem. § 287 ZPO in Höhe von mindestens 10.000,00 € war auch unter Berücksichtigung der arbeitsgerichtlichen „Zuschläge“ zu erwarten, dass die Klage nicht vollumfänglich Erfolg haben wird.

Aus Sicht des Arbeitsgerichts war jedoch die vollständige Klageabweisung mangels Schadens angezeigt. Das Gericht setzte sich dabei auch mit dem immer relevanteren „Kontrollverlust“ kurz auseinander. Denn dieser war in den letzten EuGH Entscheidungen entscheidend bzw. ausreichend, um den immateriellen Schaden zu begründen. 

Das Arbeitsgericht mochte sich vom Kontrollverlust jedoch nicht überzeugen:

„Das Vorliegen eines konkreten immateriellen Schadens hat der Kläger nicht ausreichend dargetan. Im vorliegenden Fall ist nicht ersichtlich, inwieweit der Kläger einen Kontrollverlust erlitten haben will. Es ist nicht ersichtlich, dass der Kläger daran gehindert wurde, die ihn betreffenden personenbezogenen Daten zu kontrollieren. Darüber hinaus stellt nach Auffassung der Kammer ein bloßer, abstrakter Kontrollverlust auch keinen konkreten immateriellen Schaden dar.“

Die Beurteilung erscheint durchaus überzeugend. Denn Kontrollverlust ist besonders in den Fällen der s.g. Dataleaks, also dem Abfließen und Veröffentlichen von Personendatensätzen im Internet diskutiert. Die Datenbanken können dann von einer Vielzahl an unbekannten Dritten als Personendatensatz verwendet oder sogar in Kombination mit anderen Datenlecks angereichert werden. 

In diesen Fällen muss ein Schaden durch lästige SMS, Anrufe oder E-Mails noch nicht konkret eingetreten sein, ausreichend ist der Kontrollverlust des Betroffenen über die Daten durch die Veröffentlichung. 

Ein solcher Kontrollverlust ist bei einer unverschlüsselten E-Mail jedoch deutlich abstrakter:

  1. Unverschlüsselt ist im Kontext von E-Mails irreführend. Es besteht eine SSL-Verschlüsselung (Also verschlüsselter Transportweg zwischen Server und Client), jedoch keine Inhaltsverschlüsselung durch S/MIME oder PGP. 
  2. Es ist nicht ersichtlich, welcher Kontrollverlust gegenüber einer inhaltsverschlüsselten E-Mail bestehen sollte. Es verbleibt eine stets eine abstrakte, grundsätzlich nicht auszuschließende Möglichkeit, dass Dritte den unverschlüsselten Korrespondenzweg abfangen und auslesen. 
  3. Es bedarf nach wie vor des in Art. 82 DSGVO benannten „Schadens“. Für den Kontrollverlust als Schaden muss somit zumindest die – gegenüber der rechtmäßigen Datenverarbeitung – gesteigerte Wahrscheinlichkeit des Eintritts eines „Verlustes“ geben. 

 

Für Arbeitnehmer

Auch im Lichte der neuesten EuGH Rechtsprechung bleibt es dabei: Der Verstoß gegen die DSGVO führt nicht automatisch zu einem Schadenersatz. Es muss immer noch einen Schaden – der ersetzt werden kann – geben. Dies ist beim E-Mail-Versand jedenfalls problematisch zu begründen. 

Für Arbeitgeber 

Neben zwei Aufsichtsverfahren und einem Klageverfahren – wohlgemerkt rund 1,5 Jahre nach dem Austritt des Arbeitnehmers – zeigt sich, dass die DSGVO auch als Vehikel zum „Nachtreten“ genutzt werden kann und datenschutzrechtliche Verfahren stets ernst genommen werden müssen. 

Auskünfte sollten über eigene Download-Portale oder – soweit möglich – klassisch postalisch übermittelt werden.

Soforthilfe vom Anwalt

Sie haben ein ähnliches rechtliches Problem? Jetzt kostenfreien Rückruf erhalten!

Rückruf erhalten
Soforthilfe Anwalt
Ihre Ansprechpartner
Tim Platner Geschäftsführer
Tim Platner

Jurist
Geschäftsführer

Maria Basgal

Rechtsanwältin
Geschäftsführerin

RA Jan Schlingmann
Jan Schlingmann

Rechtsanwalt
Dez. Leiter Vertragsrecht

RA Sabrina Muth
Sabrina Muth

Rechtsanwältin

RA Artas
Gökalp Artas

Rechtsanwalt

RA Martin Hermann
Martin Hermann

Rechtsanwalt

Tags

Weitere Insights