DSGVO-Verstoß durch Arbeitgeber kann zu Schadensersatz führen; Arbeitgeber sollten verschlüsselte E-Mails versenden.

Das Arbeitsgericht Suhl (ArbG) hat der seinem Urteil vom 20.12.2023 – Az. 6 Ca 704/23 – entschieden, dass der unverschlüsselte Versand per E-Mail, einer vom Arbeitgeber erteilten Auskunft, über die den Arbeitnehmer betreffenden Daten, im Rahmen der Auskunft nach Art. 15 DSGVO, einen Verstoß gegen die Datenschutzgrundverordnung darstellt.

Der Verstoß folge aus Art. 5 DSGVO, da der unverschlüsselte Versand, gegen die Sicherheitsanforderungen der Datenschutzgrundverordnung verstößt.

Arbeitnehmer haben gegen den Arbeitgeber den Anspruch nach der Datenschutzgrundverordnung (DSGVO) und im Rahmen des Arbeitsverhältnisses eine Datenauskunft über alle über ihn gespeicherten Daten zu verlangen.

Kurz und knapp

• Grundsätze der Datenverarbeitung in Art. 5 DSGVO geregelt.
• Auskunftsanspruch des Arbeitnehmers über Daten nach Art. 15 DSGVO.
• Unverschlüsselter Versand per E-Mail begründet Verstoß nach Art. 5 DSGVO.
• Trotz Verstoßes besteht kein Anspruch auf Schadensersatz.

Wel­che Grundsätze müssen Ar­beit­ge­ber bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner be­ach­ten?

Die wichtigsten Grundsätze für Arbeitgeber in Bezug auf die Verarbeitung personenbezogener Daten sind in Art. 5 Datenschutzgrundverordnung (DSGVO) aufgeführt:

Rechtmäßig­keit der Da­ten­ver­ar­bei­tung – die personenbezogenen Daten des Arbeitnehmers müssen rechtmäßig erhoben, gespeichert und verarbeitet werden.

Trans­pa­renz der Da­ten­ver­ar­bei­tung – die Datenverarbeitung muss nach dem Grundsatz Treu und Glauben erfolgen. Der Arbeitnehmer muss nachvollziehen können, welche Daten zu welchem Zweck erhoben und verarbeitet werden.

Zweck­bin­dung der Da­ten­ver­ar­bei­tung – die personenbezogenen Daten dürfen nur für einen bestimmten Zweck, sprich im Rahmen des Arbeitsverhältnisses, erhoben, gespeichert und insbesondere verarbeitet werden.

Da­ten­mi­ni­mie­rung – die Erhebung, Speicherung und Verarbeitung der personenbezogenen Daten der Arbeitnehmer durch den Arbeitgeber muss an­ge­mes­sen sein und auf das not­wen­di­ge Maß, d.h. den erforderlichen Zweck zur Durchführung des Arbeitsverhältnisses beschränkt sein.

Rich­tig­keit der Da­ten­ver­ar­bei­tung - den Ar­beit­ge­ber trifft die Pflicht, dass ge­spei­cher­ten Daten rich­tig und auf dem aktuellen Stand entsprechen.

Spei­cher­be­gren­zung – in zeitlicher Hinsicht ist die Speicherung und Verarbeitung der Daten durch den Arbeitgeber dem Zweck nach, insbesondere für die Dauer des Arbeitsverhältnisses begrenzt.

Nach Beendigung des Arbeitsverhältnisses müssen die Da­ten ent­we­der gelöscht oder so verändert wer­den, sprich anonymisiert (Stichwort: Pseudonymisierung) werden, dass kein Be­zug mehr zu ei­nem be­stimm­ten Ar­beit­neh­mer her­ge­stellt wer­den kann.

Ar­beit­ge­ber müssen zur Erfüllung der datenschutzrechtlichen Vorgaben ein Konzept für die Löschung, Anonymisierung der Daten in ihrem Betrieb vorhalten.

In­te­grität und Ver­trau­lich­keit – durch technische und organisatorische Maßnahmen – sog. TOM`s - müssen Arbeitgeber die Daten vor Verlust, Beschädigung, Zerstörung und unbefugten Zugriff schützen.

Re­chen­schafts­pflicht – die Einhaltung der datenschutzrechtlichen Bestimmungen muss durch die Arbeitgeber nachgewiesen werden.

Warum ist Datenschutz im Arbeitsrecht wichtig?

Im Rahmen des eines Arbeitsverhältnisses muss der Arbeitgeber personenbezogene Daten des Arbeitnehmers erheben, speichern und verarbeiten, bspw. um den Arbeitnehmer sozialversicherungsrechtlich anmelden oder die Lohnabrechnung vornehmen zu können.

Der Datenschutz dient in erster Linie dem Schutz der Arbeitnehmer vor einer unrechtmäßigen und unverhältnismäßigen Datenerhebung und –Verarbeitung durch den Arbeitgeber.

Arbeitnehmer sollen wissen und nachvollziehen können, welche Daten zu welchem Zweck erhoben, gespeichert und verarbeitet werden.

War­um trifft Ar­beit­ge­ber die Pflicht die DSGVO be­ach­ten? 

Durch das Beschäftigen von Arbeitnehmern durch die Ar­beit­ge­ber und den damit zugrundliegenden Arbeitsverhältnissen bestimmen die Arbeitgeber über den Zweck und das „Wie“ der Erhebung, Speicherung und der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Da­ten der Ar­beit­neh­mer.

Ar­beit­ge­ber sind gemäß Art. 4 DSGVO die ver­ant­wort­li­che Stel­len für die Verarbeitung personenbezogener Daten im Sin­ne der DSGVO.

Aufgrund dieser Verantwortlichkeit sind die Arbeitgeber verpflichtet, die Vor­schrif­ten der DSGVO zu­guns­ten der von ih­nen beschäftig­ten Ar­beit­neh­mer zu be­ach­ten.

Was sind per­so­nen­be­zo­ge­ne Da­ten?

Nach Art. 4 Nr. 1 DSGVO sind perso­nen­be­zo­ge­ne Da­ten,

"...al­le In­for­ma­tio­nen, die sich auf ei­ne iden­ti­fi­zier­te oder iden­ti­fi­zier­ba­re natürli­che Per­son be­zie­hen; die­se Per­son heißt „be­trof­fe­ne Per­son“.

Im Ar­beits­recht gehören hierzu al­le In­for­ma­tio­nen, die im Rahmen des Arbeitsverhältnisses erhoben, gespeichert und verarbeitet werden.

Das sind bereits die Bewerbungsunterlagen und ins­be­son­de­re

• Arbeitsvertrag, Teilzeitregelungen,
• persönlichen Daten des Ar­beit­neh­mers,
• Krank­heits­tage  /  Fehl­zei­ten,
• Be­ur­tei­lun­gen, Ab­mah­nun­gen, Zeug­nis­se,
• Anwesenheitszeiten, Arbeitszeiten – Unterbrechungen, etc.

Der Arbeitgeber darf die Er­he­bung, Spei­che­rung und Verarbeitung der vorgenannt und beispielhaft aufgezählten Daten nur mit einer entsprechenden Rechtsgrundlage, d.h. einer Erlaubnis vornehmen.

Was war der Anlass der Klage?

Der Kläger war im Zeitraum von 10/2020 bis einschließlich 01/2022 bei der beklagten Arbeitgeberin beschäftigt.

Mit E-Mail vom 22.12.2021 begehrte der Kläger Auskunft von der Beklagten über alle über ihn gespeicherten Daten in schriftlicher Form.

Mit unverschlüsselter Antwort-E-Mail vom 23.12.2021 übersandte die Beklagte dem Kläger eine Übersicht der digital verarbeiteten Daten. Zudem wurden die gespeicherten personenbezogenen Daten des Klägers ohne dessen Zustimmung an den Betriebsrat weitergeleitet. Per Post erteilte die Beklagte dem Kläger im Frühjahr 2022 weitere Auskunft über die erhobenen und gespeicherten Daten.

Der Kläger erhob Beschwerde über Datenschutzverletzungen beim Thüringer Landesbeauftragen für den Datenschutz und die Informationsfreiheit – kurz TLfDI. Am 25.01.2023 wurde der Kläger mitgeteilt, dass die Auskunftserteilung mittels unverschlüsselter E-Mail gegen Art. 5 Abs.1 Buchst. f) DSGVO verstoße.

Am 30.03.2023 beantragte der Kläger beim TLfDI eine Ergänzungsprüfung wegen der Übersendung der Daten an den Betriebsrat.

In einem weiteren Verfahren vor dem Arbeitsgericht Suhl, Az. 3 Ca 63/22, begehrte der Kläger von der Beklagten Auskunft nach Art. 15 DSGVO.

Nachdem die beklagte Arbeitgeberin dem Kläger eine vollständige Kopie der Personalakte übermittelte, erklärten die Parteien im Berufungsverfahren vor dem Landesarbeitsgericht Thüringen unter dem Aktenzeichen 1 Sa 256/22 am 30.05.2023 den Auskunftsanspruch für erledigt.

Mit Beschwerdeformular vom 19.06.2023 rügte der Kläger einen weiteren Verstoß gegen die DSGVO beim TLfDI.

Der Kläger monierte die unvollständige Auskunft, welche ihm im Frühjahr 2022 postalisch erteilt wurde.

Mit Bescheid vom 03.08.2023 traf der TLfDI eine Entscheidung über die Beschwerde des Klägers über Datenschutzverletzungen in Bezug auf das Auskunftsersuchen des Klägers als Arbeitnehmer bei der beklagten Arbeitgeberin.

Es wurde mitgeteilt, dass ein Verstoß gegen Art. 5 Abs.1 Buchst. f) DSGVO vorliege, da auf den Antrag des Klägers vom 22.12.2021 ein Datenblatt mit personenbezogenen Daten im pdf-Format als Anhang einer unverschlüsselten E-Mail übersandt wurde.

Der Kläger erhob sodass aufgrund der Mitteilung des TLfDI Klage und begehrte Schadensersatz nach Art. 82 Abs. 1 DSGVO.

Die Beklagte habe mehrfach in erheblicher Weise (Datenübermittlung mittels unverschlüsselter E-Mail, Weiterleitung an den Betriebsrat und unvollständige Auskunft) gegen die DSGVO verstoßen und sei daher zum Schadensersatz in Höhe von 10.000 € netto verpflichtet.

Ersatzfähig seien alle immateriellen Schäden, welche i.d.R. aus einer Verletzung des allgemeinen Persönlichkeitsrechts heraus resultieren.

Verursacht durch die Verstöße habe der Kläger einen immateriellen Schaden erlitten. Durch die unverschlüsselte und bis heute nicht vollständig erteilte Auskunft habe er einen Kontrollverlust erlitten.

Zudem sei, so der Kläger, nachweisbarer separater kausaler Schaden erforderlich ist, da vielmehr bereits ein Verstoß gegen die DSGVO genüge.

Aufgrund der mehrfachen und fortwährenden Verstöße als auch zur Erzielung einer Abschreckungswirkung sei ein Betrag von 10.000 € angemessen.

Entscheidung des Arbeitsgerichts Suhl

Das Arbeitsgericht Suhl wies die Klage als unbegründet ab und verwies dabei auf die Leitlinien der EuGH-Entscheidung vom Urteil vom 04.05.2023, C-300/21.

Im Grundsatz, nämlich das seitens des Arbeitgebers ein Verstoß gegen die DSGVO vorliege, gab das Arbeitsgericht dem Kläger Recht, sah jedoch die Voraussetzungen für seine Forderung, der des immateriellen Schadensersatzes nicht als erfüllt an.

Das Gericht begründete seine Entscheidung wie folgt:

Das Gericht stellte fest, dass für einen Anspruch auf Schadensersatz nach Art. 82 DSGVO neben einem Verstoß auch ein Schaden sowie ein Kausalzusammenhang zwischen Verstoß und Schaden erforderlich ist.

Es obliege dem Kläger einen etwaigen immateriellen Schaden darzulegen und ggf. nachzuweisen.

Das Erfordernis des Nachweises eines tatsächlich erlittenen Schadens ist auch der Sache nach erforderlich, um ein Ausufern von Schadensersatzforderungen bei – wie vorliegend - folgenlosen Datenschutzverstoßes zu vermeiden, vgl. OLG Frankfurt, Urteil vom 02.03.2022 – 13 U 206/20.

Das Vorliegen eines konkreten immateriellen Schadens hat der Kläger nicht nachgewiesen bzw. nicht dargelegt.

Es sei zudem nicht ersichtlich, inwieweit der Kläger einen Kontrollverlust erlitten hätte. Auch war der Kläger nicht daran gehindert, die ihn betreffenden personenbezogenen Daten zu kontrollieren. Er habe gegenüber dem Arbeitgeber einen Auskunftsanspruch jederzeit geltend machen können, um so die Speicherung und Verarbeitung, wie auch die Aktualität der Daten zu kontrollieren.

Ein bloßer, abstrakter Kontrollverlust begründe keinen konkreten immateriellen Schaden, so das Gericht.

Auch besteh kein Anspruch des Klägers gegen die Beklagte auf Zahlung eines angemessenen Schmerzensgeldes unter dem Gesichtspunkt der Verletzung seines allgemeinen Persönlichkeitsrechts §§ 823 Abs. 1, 253 BGB in Verbindung mit Art. 1 Abs. 1, Art. 2 Abs. 1 GG besteht ebenfalls nicht.

Fazit:

• Arbeitgeber sollte hinsichtlich der Erhebung, Speicherung und Verarbeitung von Daten im Rahmen des Arbeitsverhältnisses die Vorgaben der DSGVO beachten, geeignete technische und organisatorische Maßnahmen treffen und für die Zeit nach dem Bestehen von Arbeitsverhältnissen, eine entsprechendes Konzept für die Löschung und Pseudonymisierung der Arbeitnehmerdaten zur Verfügung haben.
• Dem Kläger wurde vom Arbeitsgericht Suhl zwar kein Schadensersatzanspruch zugesprochen, jedoch wurde durch das Gericht der Verstoß gegen die DSGVO wegen der unverschlüsselten E-Mail Übermittlung festgestellt.
  
• Die Datenschutzgrundverordnung (DSGVO) enthält keinerlei Regelung für eine E-Mail-Verschlüsselung bei Übermittlung von personenbezogenen Daten, jedoch obliegt den Arbeitgebern die Pflicht nach der DSGVO die Sicherheit der personenbezogenen Daten zu gewährleisten, eben durch sog. TOMs.
• Unverschlüsselte E-Mails sind der Gefahr des unbefugten Zugriffs und somit dem unbefugten Mitlesen durch dritte Personen ausgesetzt, sodass Arbeitgeber das Risiko eines DSGVO-Verstoßes ausgesetzt sind.

LOIBL LAW – die Rechtskanzlei, Ihre Experten im Arbeits- und Datenschutzrecht!

WIR beraten Sie, ob als Arbeitnehmer, Arbeitnehmerin oder Arbeitgeber in allen Fragen und Angelegenheiten des Arbeits- und Datenschutzrecht.

Wir bieten insbesondere Arbeitgebern Datenschutzrechtliche Schulungen für Mitarbeiterinnen und Mitarbeiter an.

Wir beraten Sie bundesweit. Sie erhalten bei uns eine kostenlose Ersteinschätzung zu Ihrem Anliegen.

WIR handeln schnell, unkompliziert und lösungsorientiert. Unser Ziel, Ihre Rechte Sichern und schützen!

Sie können sich jederzeit unverbindlich unter 0991/38306131, per E-Mail mail@loibl-law.de oder WhatsApp-Business unter 099138306131 oder über die weiteren Kontaktmöglichkeiten auf unserer Website www.loibl-law.de mit der Online-Chat-Funktion melden.

Weitere Infos und Antworten zum Arbeitsrecht finden Sie auf unserer Website - Arbeitsrecht

Ihr Team von LOIBL LAW!