Auskunft per unverschlüsselter E-Mail ist Datenschutzverletzung
Eine Person begehrte per E-Mail Auskunft von einem Unternehmen über alle über ihn gespeicherten Daten in schriftlicher Form. Das Unternehmen übersandte der Person daraufhin eine Übersicht der digital verarbeiteten Daten – per unverschlüsselter E-Mail. Darüber hinaus wurden die gespeicherten personenbezogenen Daten der Person ohne dessen Zustimmung an den Betriebsrat weitergeleitet. Ausserdem rügte die Person eine unvollständige Erteilung der Datenauskunft.
Unverschlüsselte Übermittlung verstösst gegen Art. 5 DSGVO
Die Person hat beim Thüringer Landesbeauftragten für Datenschutz Beschwerde eingereicht. Dieser war der Auffassung, dass die Erteilung der Auskunft mittels unverschlüsselter E-Mail gegen Art. 5 Abs. 1 lit. f DSGVO verstößt. Danach müssen personenbezogene Daten „in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmässiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen (‚Integrität und Vertraulichkeit‘)“. Der Landesbeauftragte für Datenschutz sah einen Verstoss gegen die DSGVO, da auf den Antrag des Klägers ein Datenblatt mit personenbezogenen Daten im PDF-Format als Anhang einer unverschlüsselten E-Mail übersandt wurde.
Einen solchen Verstoss bejahte auch das Arbeitsgericht Suhl. Ob auch die Weiterleitung der Daten an den Betriebsrat und die monierte unvollständige Auskunftserteilung Verstösse gegen Regelungen der DSGVO darstellen, liess das Gericht dahinstehen. Die Person, welche Schadenersatz nach Art. 82 DSGVO verlangte, habe nämlich keinen Schaden dargelegt, weshalb eine Entscheidung darüber nicht erforderlich sei.