Kein automatischer Schadensersatzanspruch bei Übermittlung per unverschlüsselter E-Mail
Immer häufiger müssen sich Gerichte mit Klagen auf Schadensersatz für Datenschutzverstöße auseinandersetzen. Doch nicht jeder Verstoß gegen die Datenschutzgrundverordnung (DSGVO) begründet einen Schadensersatzanspruch nach Art. 82 Abs. 1 DSGVO. So hat auch das Arbeitsgericht (ArbG) Suhl mit Urteil vom 20.12.2023 (Az. 6 Ca 704/23) entschieden, dass die Beantwortung eines Auskunftsersuchens per unverschlüsselter E-Mail zwar gegen die DSGVO verstößt, der Verstoß jedoch nicht automatisch dazu führe, dass der betroffenen Person ein Anspruch auf Schadensersatz nach Art. 82 DSGVO zustehe.
Was ist passiert?
Der Kläger, der von Oktober 2020 bis Januar 2022 bei der beklagten Arbeitgeberin beschäftigt war, beantragte mit E-Mail vom 22.12.2021 Auskunft von der Beklagten über die zu seiner Person gespeicherten Daten. Auf Wunsch des Klägers sollte die Antwort schriftlich erfolgen.
Die Arbeitgeberin kam der Aufforderung am 23.12.2021 nach und übersandte dem Kläger mit unverschlüsselter E-Mail eine Übersicht über die bei ihr digital verarbeiteten Daten. Daraufhin legte der Kläger Beschwerde bei dem Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) ein. Der TLfDI gab der Beschwerde statt. Die Auskunftserteilung per unverschlüsselter E-Mail sei ein Verstoß gegen Art. 5 Abs. 1 lit. f DSGVO.
Zudem machte der Kläger beim zuständigen Arbeitsgericht in Suhl Schadensersatz nach Art. 82 DSGVO geltend. Er habe einen Kontrollverlust über seine personenbezogenen Daten erlitten, der als immaterieller Schaden zu qualifizieren sei. Ein Betrag von 10.000 EUR sei angemessen. Das ArbG wies die Klage als unbegründet zurück. Es stellte fest, dass durch die Versendung der Auskunft als unverschlüsselte E-Mail ein Verstoß gegen Art. 5 Abs. 1 lit. f DSGVO vorliege. Der Kläger habe weder den immateriellen Schaden noch einen Kontrollverlust über seine Daten nachweisen können.
Auf welchem Weg ist eine Auskunft nach Art. 15 DSGVO zu erteilen?
Stellt die betroffene Person den Antrag auf elektronischem Wege, so sind die Informationen „in einem gängigen elektronischen Format zur Verfügung zu stellen, sofern sie nichts anderes angibt“ (Art. 15 Abs. 3 S. 3 DSGVO). In unserem Fall hat der Kläger den Antrag zwar per E-Mail gestellt, aber um eine schriftliche Antwort, d.h. per Post/postalisch gebeten. Die beklagte Arbeitgeberin hingegen erteilte die Auskunft mit unverschlüsselter E-Mail.
Das Prinzip der „Integrität und Vertraulichkeit“ aus Art. 5 Abs. 1 lit. f DSGVO sowie Art. 32 DSGVO verpflichten Verantwortliche und Auftragsverarbeiter unter Berücksichtigung des aktuellen Standes der Technik, für die Datenverarbeitungssituation angemessene technische und organisatorische Maßnahmen zu treffen. Dabei sind das Niveau und die zu treffenden Maßnahmen nicht abschließend vorgeschrieben. Es kommt auf den Schutzbedarf der personenbezogenen Daten im jeweiligen Einzelfall an (risiko- und situationsabhängig).
Eine unverschlüsselte E-Mail ist, was die Sicherheit der übermittelten Daten betrifft, mit einer Postkarte vergleichbar. Sie kann von unbefugten Dritten nicht nur gelesen, sondern auch manipuliert werden. In der Praxis stellt sich die Frage, welche Art von Verschlüsselung erforderlich ist, um die übermittelten Daten angemessen zu schützen. Es wird unterschieden zwischen Transportverschlüsselung und Ende-zu-Ende-Verschlüsselung (S/MIME-Verschlüsselung).
Bei einer Transportverschlüsselung wird die Verbindung zwischen den zwei kommunizierenden Servern verschlüsselt. D.h., die E-Mail kann auf dem Transportweg nicht abgegriffen werden. Sie liegt jedoch auf den Servern des Absenders und des Empfängers und ggf. auch auf den dazwischenliegenden Knoten im Klartext vor und kann mitgelesen werden. Hacker haben ungehindert Zugriff darauf.
Im Rahmen einer Ende-zu-Ende-Verschlüsselung weist der Absender über die S/MIME Signatur seine Identität nach. Dabei wird bei jeder erstellten E-Mail mit dem privaten Schlüssel des Absenders eine einzigartige digitale Signatur generiert. Über den öffentlichen Schlüssel wird die digitale Signatur beim Empfänger verifiziert. Nachteilig ist, dass nur die Nachricht verschlüsselt wird, nicht jedoch Absender und Empfänger sowie der Betreff. Es bleibt also für Dritte erkennbar, wer wann mit wem in welcher Sache kommuniziert. Hacker können sich mit diesen Daten somit weitere Informationen erschleichen (Stichwort „social engineering“).
Die Entscheidung, eine Transportverschlüsselung oder eine Ende-zu-Ende-Verschlüsselung einzusetzen, hängt von dem Risiko für die Rechte und Freiheiten der betroffenen Person ab. Nahezu alle Provider setzen heutzutage standartmäßig Transportverschlüsselungen ein. Die Datenschutzkonferenz (DSK), als Gremium der deutschen Datenschutzaufsichtsbehörden, stellt fest, dass der Einsatz einer Transportverschlüsselung einen Basis-Schutz bietet und eine Mindestmaßnahme zur Erfüllung gesetzlicher Anforderungen darstellt. In Verarbeitungssituationen mit normalen Risiken sei damit bereits eine ausreichende Risikominimierung erreicht. Bei einem hohen Risiko für die betroffenen Personen müssen Verantwortliche laut DSK regelmäßig eine Ende-zu-Ende-Verschlüsselung und eine qualifizierte Transportverschlüsselung sicherstellen.
Eine nutzerfreundliche Alternative zur Transport- und ggf. Ende-zu-Ende-Verschlüsselung ist die Bereitstellung eines Links zu einer https-geschützten Webseite. Auch die Übermittlung einer verschlüsselten PDF-Datei, ist laut dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg eine weitere Möglichkeit personenbezogene Daten sicher zu übermitteln. Das erforderliche Passwort ist dann auf einem vertrauenswürdigen Kanal (z.B. telefonisch) mitzuteilen. Zudem bietet sich ein https-gesichertes Nutzerkonto als einfache Möglichkeit an, um die Auskunft auf sicherem Wege zu erteilen.
Wann besteht ein Anspruch auf Schadensersatz nach Art. 82 DSGVO?
Das ArbG Suhl hat mit Urteil vom 20.12.2023 (Az. 6 Ca 704/23) entschieden, dass dem Kläger in dem konkreten Fall kein Anspruch aus Art. 82 DSGVO auf Ersatz des von ihm geltend gemachten Schadens zusteht. Der Kläger habe den Eintritt eines Schadens nicht dargelegt. Die bloße Behauptung eines Kontrollverlustes sei nicht ausreichend. Damit folgt das ArbG Suhl in seiner Entscheidung dem EuGH-Urteil vom 04.05.2023 ( Az. C-300/21). Für das Vorliegen eines Schadensersatzanspruches muss laut EuGH neben einem Verstoß gegen die DSGVO auch der Eintritt eines kausalen Schadens nachgewiesen werden.
Fazit
Ein Verstoß gegen die DSGVO begründet nicht automatisch eine Schadenswiedergutmachung. Vielmehr müssen drei Voraussetzungen kumulativ erfüllt werden. Neben dem Verstoß bedarf es eines materiellen oder immateriellen Schadens sowie eines kausalen Zusammenhangs zwischen dem Verstoß und dem Schaden.
Eine auf elektronischem Wege erbetene Auskunft ist gem. Art. 15 Abs. 3 S. 1 DSGVO auch auf elektronischem Wege zu erteilen, vorausgesetzt der Antragssteller wünscht nicht eine andere Form der Datenübertragung (z.B. den postalischen Weg). Bei der Übertragung ist auf den Schutzbedarf der personenbezogenen Daten zu achten. Der Verschlüsselungsgrad wird davon abhängen, ob sensible Daten nach Art. 9 DSGVO (wie z. B. Gesundheitsdaten, Religionszugehörigkeit u.a.) beauskunftet werden oder ggf. ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person vorliegt. Sie haben Fragen oder benötigen Unterstützung, um angemessen auf ein Auskunftsersuchen zu reagieren? Rufen Sie uns gerne unter 0911 990 860 0 an oder kontaktieren Sie uns unter info@mkm-datenschutz.de.