DSGVO-Auskunft per unverschlüsselter Mail ist Datenschutzverstoß

Der Anspruch auf Datenauskunft ist ein zentrales Betroffenenrecht der DSGVO – doch was, wenn diese Auskunft unsicher übermittelt wird? Das Arbeitsgericht Suhl (Urteil vom 20.12.2023, Az. 6 Ca 704/23) hatte sich mit genau dieser Frage zu befassen. Im Mittelpunkt: eine unverschlüsselte E-Mail mit personenbezogenen Daten und die Forderung nach immateriellem Schadensersatz. Das Gericht bejahte zwar den Datenschutzverstoß – lehnte eine Entschädigung jedoch ab.

Warum das so ist, welche Maßstäbe das Gericht anlegt, und was Unternehmen daraus lernen müssen – all das erläutert dieser Beitrag ausführlich.

I. Der Sachverhalt: Auskunft verlangt, ungesichert übermittelt

Der Kläger, ein ehemaliger Arbeitnehmer, wandte sich per E-Mail an seine frühere Arbeitgeberin – die Beklagte – mit der Forderung, ihm gemäß Art. 15 DSGVO eine schriftliche Auskunft über die zu seiner Person gespeicherten Daten zu erteilen.

Was tat die Beklagte? Sie übermittelte ihm daraufhin ein PDF-Dokument mit der Übersicht der gespeicherten Daten – allerdings per unverschlüsselter E-Mail, also ohne jegliche technische Absicherung gegen Mitlesen durch Dritte.

Zusätzlich wurden seine personenbezogenen Daten an den Betriebsrat weitergeleitet – ohne seine ausdrückliche Zustimmung.

Darüber hinaus bemängelte der Kläger, die Auskunft sei unvollständig gewesen.

II. Einschaltung der Aufsichtsbehörde: Klare Worte vom Datenschutzbeauftragten

Der Kläger beschwerte sich daraufhin beim Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI).

Die Datenschutzaufsicht teilte die Ansicht des Klägers:
Die Übermittlung personenbezogener Daten im Anhang einer unverschlüsselten E-Mail verstoße gegen Art. 5 Abs. 1 lit. f DSGVO. Dort heißt es:

„Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet, einschließlich Schutz vor unbefugter Verarbeitung durch geeignete technische und organisatorische Maßnahmen (‚Integrität und Vertraulichkeit‘).“

Fazit der Aufsichtsbehörde: Ein Verstoß gegen die DSGVO liegt vor.

III. Die Entscheidung des ArbG Suhl: Datenschutzverstoß – aber keine Entschädigung

1. Verstoß gegen Art. 5 DSGVO: Bejaht

Das Arbeitsgericht Suhl folgte dieser Einschätzung. Es stellte klar:

• Die Übermittlung personenbezogener Daten via unverschlüsselter E-Mail stellt einen Verstoß gegen Art. 5 Abs. 1 lit. f DSGVO dar.

Die Beklagte hätte also durch geeignete Maßnahmen – z. B. durch Verschlüsselung, gesicherte Portale oder postalische Zusendung – sicherstellen müssen, dass die Daten nicht durch Dritte mitgelesen werden können.

2. Weitere Verstöße: Nicht entschieden

Ob auch:

• die Weitergabe der Daten an den Betriebsrat ohne Zustimmung
• sowie die möglicherweise unvollständige Auskunft

ebenfalls Datenschutzverstöße darstellen, ließ das Gericht ausdrücklich offen. Grund: Diese Fragen seien für die Entscheidung nicht relevant, da der geltend gemachte Schadensersatzanspruch ohnehin scheitere.

IV. Warum der Kläger leer ausging: Kein nachgewiesener Schaden

1. Art. 82 DSGVO – Schadensersatzanspruch

Der Kläger verlangte 10.000 Euro immateriellen Schadensersatz nach Art. 82 Abs. 1 DSGVO, der bestimmt:

„Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder Auftragsverarbeiter.“

2. Gericht: DSGVO-Verstoß ≠ automatischer Schaden

Das Gericht betonte in seiner Begründung:

• Ein DSGVO-Verstoß allein genügt nicht.
• Erforderlich sind:
1. Ein Verstoß gegen die DSGVO (liegt hier vor),
2. ein konkreter Schaden (fehlte hier),
3. ein Kausalzusammenhang zwischen beidem (nicht nachgewiesen).

3. Bloßer Kontrollverlust? Kein Schaden!

Das Gericht ging auch mit einer verbreiteten Argumentationslinie hart ins Gericht:

Ein bloßer Kontrollverlust über personenbezogene Daten stellt keinen immateriellen Schaden dar.

Mit anderen Worten: Allein die Vorstellung, dass eine E-Mail abgefangen hätte werden können, reicht nicht aus. Der Kläger habe nicht glaubhaft gemacht, dass seine Daten tatsächlich in falsche Hände geraten oder für ihn nachteilige Folgen eingetreten seien.

Ein „abstraktes Unwohlsein“ oder ein „diffuses Risikoempfinden“ genüge nicht, um immateriellen Schaden im Sinne von Art. 82 DSGVO zu begründen.

V. Einordnung der Entscheidung: DSGVO mit Grenzen

1. Strenge Auslegung bei Schadensersatz

Das Urteil des ArbG Suhl reiht sich in eine Linie deutscher Gerichte ein, die bei der Auslegung von Art. 82 DSGVO strenge Anforderungen an die Schadensdarlegung stellen. Die deutsche Rechtsprechung neigt dazu, keine Entschädigung ohne Nachweis eines konkreten Schadens zu gewähren – auch bei klaren Datenschutzverstößen.

Diese Linie ist jedoch nicht unumstritten: Andere europäische Gerichte werten einen Kontrollverlust durchaus als ausreichend für eine Entschädigung.

2. Berufung zugelassen

Das ArbG Suhl hat die Berufung ausdrücklich zugelassen. Es ist also gut möglich, dass ein Landesarbeitsgericht oder später auch der EuGH klären wird, ob der Kontrollverlust über personenbezogene Daten an sich schon als Schaden zu werten ist.

VI. Was Unternehmen jetzt beachten sollten

1. Keine unverschlüsselten E-Mails mit personenbezogenen Daten versenden.
• Nutze Ende-zu-Ende-Verschlüsselung.
• Oder sichere Kundenportale, ZIP-Container mit Passwort, SFTP usw.
2. Auf Auskunftsersuchen rechtssicher reagieren.
• Art. 15 DSGVO verlangt eine „schriftliche“ und sichere Auskunft.
• E-Mail nur mit ausdrücklicher Zustimmung oder sicheren Verfahren.
3. Datenschutz-Verantwortliche schulen.
• Vor allem HR und IT müssen wissen, welche technischen Maßnahmen erforderlich sind.
4. Dokumentation ist alles.
• Wer personenbezogene Daten verarbeitet, sollte jeden Auskunftsprozess dokumentieren – einschließlich Versandweg und Schutzmaßnahmen.

Fazit: DSGVO verletzt – aber keine Entschädigung ohne echten Schaden

Das Arbeitsgericht Suhl hat mit seinem Urteil klargestellt: Die unsichere Übermittlung personenbezogener Daten via unverschlüsselter E-Mail ist ein Verstoß gegen die DSGVO. Aber nicht jeder Verstoß begründet einen Anspruch auf Schadensersatz.

Für Betroffene bedeutet das: Wer eine Entschädigung nach Art. 82 DSGVO will, muss mehr liefern als ein schlechtes Gefühl. Für Unternehmen heißt das: Datenschutzverstoß vermeiden ist immer besser als sich später zu rechtfertigen.