DatenschutzWoche vom 15. Januar 2024

Evaluation der DSGVO: EU-Kommission ruft zu Stellungnahmen auf

Unter dem Titel „Bericht über die Datenschutz-Grundverordnung“ hat die EU-Kommission bereits im letzten Jahr ihre Initiative zur Evaluation der DSGVO gestartet (wir berichteten in der DatenschutzWoche vom 18.12.2023). Am 11. Januar 2024 hat die Kommission eine Aufforderung zur Stellungnahme veröffentlicht. Interessierte können bis zum 8. Februar 2024 ihr Feedback geben und dabei sämtliche Aspekte zur Anwendung der DSGVO thematisieren. Die eingegangenen Beiträge sollen die Rückmeldung der von der Kommission eingesetzten Multi-Stakeholder-Gruppe zur DSGVO ergänzen.

Während die ersten Rückmeldungen bisher ein eher positives Bild der DSGVO zeigen, liest man insbesondere aus Deutschland auch negative Einschätzungen: Zu wenig Unterstützung für KMU und zu hoher bürokratischer Aufwand, lautet die Kritik. Der Abschlussbericht zur Evaluation soll im zweiten oder dritten Quartal 2024 vorliegen. Die geplante Verordnung zur verbesserten Durchsetzung der DSGVO (wir berichteten zuletzt in der DatenschutzWoche vom 09.10.2023) wird bei der Evaluation nicht berücksichtigt.

Arbeitsgericht Suhl: Erteilung einer Auskunft per unverschlüsselter E-Mail = DSGVO-Verstoß?

In einem Urteil vom 20.12.2023 (Az. 6 Ca 704/23) hat das Arbeitsgericht Suhl entschieden, dass die Erteilung einer Auskunft per unverschlüsselter E-Mail gegen die DSGVO verstößt. Einen Anspruch auf immateriellen Schadenersatz lehnte das Gericht in der derzeit viel diskutieren Entscheidung jedoch ab.

Ausgangspunkt des Rechtsstreits war die Klage eines Arbeitnehmers auf Zahlung von Schadensersatz nach Art. 82 Abs. 1 DSGVO. Der Kläger hatte von seinem Arbeitgeber auf ein Auskunftsersuchen nach Art. 15 DSGVO ein Datenblatt mit personenbezogenen Daten als Anhang einer unverschlüsselten E-Mail erhalten und legte daraufhin nicht nur Beschwerde bei der Datenschutzaufsichtsbehörde Thüringen ein, sondern verlangte auch einen immateriellen Schadenersatz von mindestens 10.000 Euro.

Das Arbeitsgericht Suhl hat die Klage jedoch als unbegründet abgewiesen. Nach Auffassung der Gerichts liegen die Voraussetzung für einen Schadenersatzanspruch nicht vor, da der Kläger seinen vermeintlichen Schaden nicht hinreichend dargelegt hat. Zugleich stellt das Gericht jedoch fest, dass die Beantwortung der Auskunft per unverschlüsselter E-Mail einen Verstoß gegen Art. 5 lit. f DSGVO darstellt.

Dass das Gericht ohne nähere Begründung feststellte, dass die Versendung der Auskunft per unverschlüsselter E-Mail gegen die DSGVO verstößt, sorgt für Diskussionen. Nach Art. 12 DSGVO können elektronisch gestellte Auskunftsersuchen grundsätzlich auch elektronisch beantwortet werden. Dies gilt jedoch nicht, wenn der Betroffene etwas anderes angibt.

Im konkreten Fall hatte der Betroffene sein Ersuchen zwar per E-Mail gestellt, aber um eine schriftliche Antwort gebeten. Ob das Gericht den Verstoß auf diesen Umstand zurückführte oder tatsächlich die fehlende Verschlüsselung der E-Mail ausschlaggebend war, bleibt leider ebenso unklar wie die Frage, ob der Versand ohne Transport- oder ohne Ende-zu-Ende-Verschlüsselung erfolgte.

Die Ablehnung des Schadensersatzanspruchs deckt sich hingegen mit dem kürzlich ergangenen Urteil des EuGH in der Rechtssache C-340/21 (wir berichteten in der DatenschutzWoche vom 18.12.2023). Der EuGH war darin zum Ergebnis gekommen, dass auch die Befürchtung eines Datenmissbrauchs einen immateriellen Schaden darstellen kann, hatte aber gleichzeitig betont, dass der Betroffene nachweisen muss, dass ihm ein immaterieller Schaden entstanden ist.

Internationale Nachrichten

• Belgien: Die belgische Datenschutzaufsichtsbehörde hat in einem Beschwerdeverfahren entschieden, dass die lebenslange Verarbeitung von personenbezogenen Daten einer Person, die ihren Austritt aus der römisch-katholischen Kirche beantragt hat, aus datenschutzrechtlicher Sicht nicht zu rechtfertigen ist. Die Behörde hat die Diözese Gent daher angewiesen, die Daten des Beschwerdeführers zu löschen.
• Spanien: Wegen fehlender Rechtsgrundlagen und Verstößen gegen den Grundsatz der Datenminimierung hat die spanische Datenschutzaufsichtsbehörde ein Bußgeld in Höhe von 72.000 Euro gegen einen Schulungsanbieter für Fluggastkabinenpersonal verhängt.
• Frankreich: Wegen Verstößen gegen die DSGVO bei der Speicherdauer, der Information von Betroffenen und der Datensicherheit hat die französische Datenschutzaufsichtsbehörde ein Bußgeld in Höhe von 105.000 Euro gegen einen ePayment-Anbieter verhängt.

Aktuelle Gerichtsentscheidungen

• ArbG Elmshorn, Beschluss vom 23.08.2023, Az. 3 BV 31 e/23 (Volltext): Ein Grund für die Auflösung des Betriebsrats kann sich auch aus Datenschutzverstößen seitens des Betriebsrats ergeben.
• Thüringer Landesarbeitsgericht, Urteil vom 24.10.2023, Az. 5 Sa 424/22 (Volltext): Ist eine Abmahnung Gegenstand einer Schadensersatzklage, besteht zumindest bis zur rechtskräftigen Beendigung des Verfahrens nach Art. 17 Abs. 3 a  DSGVO kein Löschungsanspruch.
• ArbG Hamburg, Urteil vom 14.11.2023, Az. 19 Ca 223/23 (BeckRS 2023, 38661): Kein Anspruch auf immateriellen Schadenersatz wegen einer verspäteten Datenkopie- und Auskunftserteilung, da „Kontrollverlust“ und „emotionales Ungemach“ als Leerformeln zur Darlegung nicht ausreichen.
• OLG Dresden, Urteil vom 15.12.2023, Az. 3 U 986/23 (juris): Aus Art. 15 Abs. 1 DSGVO kann kein Anspruch zur Auskunft über den gesamten Versicherungsschein hergeleitet werden, da in ihm auch nicht-personenbezogene Daten enthalten sind.
• ArbG Berlin, Beschluss vom 19.12.2023, Az. 36 Ca 7967/23 (BeckRS 2023, 38629): Zuständigkeit der Arbeitsgerichte für einen Rechtstreit wegen der Fristen und dem Inhalt einer Auskunft nach Art. 15 DSGVO sowie für Schadenersatz wegen Datenübermittlungen in die USA.
• ArbG Suhl, Urteil vom 20.12.2023, Az. 6 Ca 704/23 (Volltext): Die Beantwortung einer Auskunft per unverschlüsselter E-Mail verstößt gegen Art. 5 Abs. 1 lit. f DSGVO. Allerdings hat der Kläger nicht hinreichend dargelegt, dass ihm ein Schaden entstanden ist.
• ArbG Suhl, Urteil vom 20.12.2023, Az. 6 Ca 54/23 (Volltext): Kein Anspruch auf immateriellen Schadenersatz nach Art. 82 DSGVO wegen der Offenlegung der Nationalität des Klägers gegenüber dem Betriebsrat, da der Schaden lediglich behauptet, aber nicht hinreichend dargelegt wurde.
• EuGH, Urteil vom 11.01.2024, Rs. C-231/22 (Volltext): Datenschutzrechtliche Verantwortlichkeit bei aufeinanderfolgenden Verarbeitungen durch mehrere Personen oder unterschiedliche Einrichtungen.

Neuigkeiten aus den Aufsichtsbehörden

• Bundesdatenschutzbeauftragter: „BfDI fordert Abschluss von WhatsApp-Verfahren“ – Pressemitteilung vom 12.01.2024
• Datenschutzaufsicht Nordrhein-Westfalen: „Datenschutz im KMU – Werkzeugkasten für den Betrieb“ – Mustervorlagen zur Unterstützung von KMU (siehe auch das Angebot der Stiftung Datenschutz: Datenschutz für Kleinunternehmen)