Legal law concept statue of Lady Justice with scales of justice sky background
Unverschlüsselte Auskunft nicht DSGVO-konform

Unverschlüsselte Auskunft nicht DSGVO-konform

Ein Arbeitnehmer hatte erfolgreich argumentiert, dass sein Arbeitgeber ihm keine unverschlüsselten Informationen geben dürfe. Allerdings erhielt er keinen Schadensersatz. Das Arbeitsgericht Suhl hatte entschieden, dass unverschlüsselte E-Mails nicht die angemessene Sicherheit für personenbezogene Daten bieten, wie es die Datenschutz-Grundverordnung (DSGVO) verlangt.

In einem veröffentlichten Urteil vom 20. Dezember gab das Arbeitsgericht einem Arbeitnehmer recht, der eine schriftliche Auskunft über alle personenbezogenen Daten verlangt hatte und diese Information unverschlüsselt per E-Mail erhalten hatte.

Seine Hauptforderung nach Schadensersatz in Höhe von mindestens 10.000 Euro wurde jedoch abgelehnt. Er konnte nicht ausreichend nachweisen, dass ihm ein Schaden entstanden war.

Der Arbeitnehmer behauptete, dass durch die Art der Datenübermittlung, die Weiterleitung der Informationen an den Betriebsrat und unvollständige Auskunft, er einen immateriellen Schaden erlitten und die Kontrolle über seine Daten verloren habe. Er leitete einen Anspruch auf Schadensersatz aus der DSGVO ab. Um dies geltend zu machen, war kein nachweisbarer separater kausaler Schaden erforderlich, aufgrund der DSGVO-Verstöße. Angesichts der wiederholten Verstöße und zur Abschreckung sei ein Betrag von mindestens 10.000 Euro plus Zinsen angemessen.

Das Gericht wies die Klage als unbegründet zurück (Az.: 6 Ca 704/23) und legte dem Kläger die Kosten des Verfahrens auf. Die unverschlüsselte Auskunft entspräche nicht der DSGVO, erklärten die Richter und beriefen sich dabei auf die Ansicht des Thüringer Datenschutzbeauftragten Lutz Hasse. Für einen Anspruch auf Schadensersatz sei jedoch neben einer Rechtsverletzung auch ein Schaden und ein Kausalzusammenhang zwischen Verstoß und Schaden erforderlich. Der Kläger konnte keinen konkreten immateriellen Schaden ausreichend nachweisen. Es war auch nicht ersichtlich, dass er daran gehindert wurde, seine personenbezogenen Daten zu kontrollieren. Das Gericht sah ebenfalls keinen Anspruch auf Schmerzensgeld wegen Verletzung des Persönlichkeitsrechts. Der Kläger konnte keinen schwerwiegenden Verstoß nachweisen. Das Gericht hatte eine Berufung nur zugelassen, wenn der Kläger nachweisen könne, dass der Gegenstand der Beschwerde den Wert von 600 Euro übersteigt. Es dürfte prinzipiell nicht aussichtslos sein, vor die höhere Instanz zu gehen. Der Europäische Gerichtshof (EuGH) entschied am 14. Dezember, dass bereits die Befürchtung, dass persönliche Daten missbraucht wurden, einen Schaden darstellen könne. Die Luxemburger Richter betonten jedoch auch, dass der Betroffene seine Ängste tatsächlich erlebt habe und dies auch nachweisen müsse.

Was Datenschutzbeauftragte empfehlen

Obwohl Verschlüsselung in der DSGVO nicht direkt erwähnt wird, empfehlen Datenschutzbeauftragte wie Alexander Roßnagel aus Hessen den Versand von verschlüsselten E-Mails (PGP Pretty Good Privacy oder S/MIME(Secure/Multipurpose Internet Mail Extensions)) oder Portallösungen als vergleichsweise sichere Kommunikationsmittel. Verantwortliche müssen auf der Grundlage der DSGVO geeignete technische und organisatorische Maßnahmen treffen, um angemessenen Datenschutz zu gewährleisten, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und anderer Faktoren.

Unterschiede PGP und S/MIME

Sowohl PGP (Pretty Good Privacy) als auch S/MIME (Secure/Multipurpose Internet Mail Extensions) sind Methoden zur Verschlüsselung von E-Mails und gewährleisten die Sicherheit des Datenverkehrs. Sie bieten jedoch unterschiedliche Ansätze und Technologien.

PGP ist ein asymmetrisches Verschlüsselungsverfahren, das eine Kombination aus öffentlichen und privaten Schlüsseln verwendet. Um eine E-Mail mit PGP zu verschlüsseln, generiert der Absender einen öffentlichen Schlüssel, den er mit anderen teilen kann. Wenn ein Empfänger die E-Mail erhält, verwendet er seinen privaten Schlüssel, um die verschlüsselte Nachricht zu entschlüsseln. Das PGP-Verfahren bietet eine hohe Sicherheit, da jede Person ihr eigenes Schlüsselpaar besitzt und die privaten Schlüssel nicht weitergegeben werden.

S/MIME hingegen basiert auf Zertifikaten, die von einer vertrauenswürdigen Zertifizierungsstelle (CA) ausgestellt werden. Mit einem S/MIME-Zertifikat kann der Absender einer E-Mail eine digitale Signatur erstellen und die E-Mail damit authentifizieren. Darüber hinaus kann S/MIME auch zur Verschlüsselung der Inhalte verwendet werden. Wenn eine E-Mail mit S/MIME verschlüsselt wird, verwendet der Absender den öffentlichen Schlüssel des Empfängers, der in seinem Zertifikat enthalten ist, um die Nachricht zu verschlüsseln. Der Empfänger verwendet dann seinen privaten Schlüssel zum Entschlüsseln der Nachricht.

Beide Methoden bieten hohe Sicherheit. S/MIME-Zertifikate werden von einer unabhängigen und vertrauenswürdigen Stelle gemäß einheitlichen Standards überprüft, was ein Vertrauensgefühl schafft. Im Gegensatz dazu beruht PGP (Pretty Good Privacy) auf dem Web of Trust, einem Netzwerk gegenseitiger Verifizierungen der Nutzer. Die Entscheidung darüber, ob S/MIME oder PGP-Signaturen vertrauenswürdiger sind, obliegt jedem Einzelnen. Allerdings bietet S/MIME den Vorteil, dass es bereits mit vielen E-Mail-Programmen und Smartphones kompatibel ist.

Um eine E-Mail mit PGP zu verschlüsseln, benötigen sowohl Absender als auch Empfänger eine PGP-Software (wie GnuPG) und müssen ihre öffentlichen Schlüssel austauschen. Bei S/MIME benötigen beide Parteien ein gültiges Zertifikat, das von einer vertrauenswürdigen CA ausgestellt wurde, und es muss in ihrem E-Mail-Client installiert und konfiguriert sein.

In beiden Fällen ermöglichen PGP und S/MIME eine sichere Übertragung von sensiblen Informationen durch E-Mails, indem sie die Inhalte verschlüsseln und/oder digital signieren, um Manipulationen zu verhindern und die Authentizität zu gewährleisten.

Werbung in eigener Sache 😊:

Wir möchten Euch darauf aufmerksam machen, dass Ihr in unserem Shop die Möglichkeit habt, S/MIME-Zertifikate zu erwerben, welche eine effektive Maßnahme zur Sicherstellung der Vertraulichkeit und Integrität Eurer elektronischen Kommunikation darstellt. Durch den Erwerb und die Implementierung dieser Zertifikate könnt Ihr nicht nur die Sicherheit Ihrer Nachrichten gewährleisten, sondern auch das Vertrauen in Eure digitalen Interaktionen stärken. 👍

Fazit

Das Urteil des Arbeitsgerichts Suhl in Bezug auf die Unzulässigkeit unverschlüsselter E-Mail-Kommunikation wirft wichtige Fragen zum Datenschutz und zur Sicherheit personenbezogener Daten auf. Während das Gericht feststellte, dass unverschlüsselte Übertragungen nicht den Anforderungen der DSGVO entsprechen, stellte es gleichzeitig fest, dass kein konkreter immaterieller Schaden nachgewiesen wurde, um Schadensersatz zu rechtfertigen. Diese Entscheidung verdeutlicht die Bedeutung von verschlüsselten Kommunikationsmitteln wie PGP und S/MIME, die von Datenschutzbeauftragten empfohlen werden, um die Sicherheit sensibler Informationen zu gewährleisten. Es ist jedoch wichtig zu beachten, dass sowohl PGP als auch S/MIME unterschiedliche Ansätze und Technologien bieten und dass die Auswahl zwischen den beiden Methoden von verschiedenen Faktoren wie Flexibilität, Kosten und Verwaltungsaufwand abhängt. Trotz dieser Entscheidung bleibt der Schutz personenbezogener Daten eine zentrale Herausforderung, der Unternehmen und Organisationen durch angemessene technische und organisatorische Maßnahmen gerecht werden müssen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert