Datenschutz aus Braunschweig

Kontakt

Newsletter

Kontakt

Unverschlüsselte E-Mail bei Betroffenenauskunft – Verstoß gegen die DSGVO?

Am 20. Dezember 2023 hat das Arbeitsgericht Suhl (Az.: 6 Ca 704/23) ein interessantes Urteil zum Thema Auskunftsrecht nach Art. 15 DSGVO veröffentlicht. Der Fall zeigt deutlich, dass nicht nur der Inhalt einer Betroffenenauskunft entscheidend ist, sondern auch die Art der Übermittlung.

Worum ging es?

Ein Arbeitnehmer verlangte von seinem Arbeitgeber Auskunft über alle zu seiner Person gespeicherten Daten. Der Arbeitgeber kam dieser Aufforderung grundsätzlich nach und stellte die entsprechenden Informationen zur Verfügung.

Dennoch kam es zum Rechtsstreit:
Der Arbeitnehmer forderte 10.000 € Schadensersatz. Begründung:

  • Die Auskunft wurde per unverschlüsselter E-Mail übermittelt
  • Eine Kopie ging an den Betriebsrat
  • Die Daten seien nicht vollständig gewesen

Warum scheiterte die Schadensersatzforderung?

Das Gericht wies die Forderung zurück. Der Kläger konnte nicht ausreichend darlegen, dass ihm durch die Übermittlung ein konkreter Schaden entstanden sei.

Für viele Unternehmen mag das zunächst beruhigend klingen. Allerdings enthält das Urteil einen entscheidenden Hinweis.

Klarstellung des Gerichts: Verstoß gegen Art. 5 DSGVO

Das Arbeitsgericht stellte ausdrücklich fest:

„Ein Verstoß gegen Art. 5 DSGVO wegen des Versands der unverschlüsselten E-Mail liegt vor.“

Damit wird deutlich:
Auch wenn kein Schadensersatz zugesprochen wird, stellt der Versand personenbezogener Daten per unverschlüsselter E-Mail grundsätzlich einen Datenschutzverstoß dar.

Das betrifft insbesondere sensible Daten im Rahmen von Betroffenenauskünften.

Was bedeutet das für Unternehmen?

Betroffenenanfragen nach Art. 15 DSGVO sind keine Formalität. Neben der fristgerechten und vollständigen Beantwortung ist auch die datenschutzkonforme Übermittlung sicherzustellen.

Unverschlüsselte E-Mails genügen diesen Anforderungen regelmäßig nicht.

Unsere Empfehlung

Da die Verschlüsselung kompletter E-Mail-Kommunikation technisch nicht immer einfach umzusetzen ist, empfehlen wir folgende Vorgehensweise:

  • Erstellung der Auskunft in einer Excel- oder Word-Datei
  • Verschlüsselung der Datei mit einem Kennwort
  • Übermittlung des Passworts auf einem separaten Kommunikationsweg (z. B. telefonisch oder per Briefpost)

So wird sichergestellt, dass die personenbezogenen Daten nicht unbefugt abgefangen oder eingesehen werden können.

Fazit

Das Urteil des Arbeitsgerichts Suhl verdeutlicht:
Selbst wenn kein Schadensersatz zugesprochen wird, kann die Art der Datenübermittlung einen Verstoß gegen die DSGVO darstellen.

Unternehmen sollten ihre internen Prozesse zur Bearbeitung von Betroffenenanfragen daher überprüfen, insbesondere im Hinblick auf sichere Übermittlungswege.

Datenschutz
Datenschutzbeauftragung oder auch eine einfache Beratung, wir helfen Ihnen gerne.
Jetzt Kontakt aufnehmen
  • Datenschutz
  • Weitere Links
Niedersachsen beteiligt sich an europaweiter Datenschutzprüfung 2026
Niedersachsen beteiligt sich an europaweiter Datenschutzprüfung 2026
Elektronische Patientenakte (ePA) für alle – Was Mitarbeiter jetzt wissen sollten
Im 15. Januar 2025 ist die „elektronische Patientenakte für alle“ (ePA) in Hamburg, Franken und
LinkedIn nutzt Nutzerdaten für KI-Training
Das Thema ist bereits medial aufgegriffen worden: Immer mehr Plattformen nutzen Nutzerdaten, um eigene KI-Modelle