Besprechung des Urteils vom Arbeitsgericht Suhl vom 20.12.2023 und des zugrunde liegenden Bescheids der Thüringer Aufsichtsbehörde
Das Urteil des Arbeitsgerichts Suhl vom 20.12.2023 (Az. 6 Ca 704/23) hat für einiges Aufsehen gesorgt. So titelte etwa heise.de: Arbeitsgericht: Unverschlüsselte Mail verstößt gegen die DSGVO. Das Thema traf offenbar einen Nerv, wie sich auch an den zum Zeitpunkt der Veröffentlichung dieses Beitrags 339 Kommentaren zeigt (z.B. „Blödsinn, Gericht unfähig“, „Email wird heute immer verschlüsselt übertragen!“).
Aber verpflichtet die DSGVO (nach der Entscheidung des Arbeitsgerichts Suhl) wirklich alle Unternehmen dazu, alle E-Mails immer Ende-zu-Ende zu verschlüsseln?!
Was hat das Arbeitsgericht wirklich entschieden?
Der Kläger hatte von seinem (zu diesem Zeitpunkt noch) Arbeitgeber per E-Mail Auskunft (gemäß Artikel 15 DSGVO) in schriftlicher Form verlangt. Die Beklagte (also der Arbeitgeber) übersandte dem Kläger per „unverschlüsselter E-Mail“ eine Übersicht der digital verarbeiteten Daten. Der Kläger erhob daraufhin Beschwerde beim Thüringer Landesbeauftragen für den Datenschutz und die Informationsfreiheit (TLfDI) Der TLfDI entschied mit Bescheid vom 03.08.2023,
„dass ein Verstoß gegen Art. 5 Abs.1 Buchst. f) DSGVO vorliege, da auf den Antrag des Klägers vom 22.12.2021 ein Datenblatt mit personenbezogenen Daten im pdf-Format als Anhang einer unverschlüsselten E-Mail übersandt wurde“.
ArbG Suhl, 6 Ca 704/23, Rn. 3-7
Das Arbeitsgericht stellt sodann in den Urteilsgründen fest:
„Ein Verstoß gegen Art. 5 DSGVO wegen des Versands der unverschlüsselten E-Mail liegt vor. Dies wurde auch vom [TLfDI] mit Bescheid vom 03.08.2023 bestätigt.“
ArbG Suhl, 6 Ca 704/23, Rn. 22
Es war wohl diese Formulierung, die zu spektakulären Überschriften wie im oben genannten heise-Artikel führten – scheint sie doch zu implizieren, dass jede unverschlüsselt versendete E-Mail einen Datenschutzverstoß darstellt.
Was bedeutet überhaupt „unverschlüsselte E-Mail“?
Das Gericht geht in seiner Entscheidung nämlich hierauf überhaupt nicht ein, was es mit „unverschlüsselte E-Mail“ meint.
In Frage kämen – wenn man die bisherige Orientierungshilfe der deutschen Aufsichtsbehörden (DSK) zum Thema zugrunde legt – nur drei Möglichkeiten:
- Fehlende (einfache) Transportverschlüsselung
- Fehlende qualifizierte Transportverschlüsselung
- Fehlende Ende-zu-Ende-Verschlüsselung
Das Gericht schweigt sich aber dazu aus, was es mit „unverschlüsselte E-Mail“ meint und verweist lediglich auf den Bescheid es TLfDI.
Was hat der TLfDI im Bescheid vom 03.08.2023 entschieden?
Dank des Thüringer Transparenzgesetzes konnten wir den anonymisierten Bescheid des TLfDI vom 03.08.2023 erhalten. Dessen Lektüre erhellt die Entscheidung des Arbeitsgerichts Suhl ungemein.
Zunächst geht eindeutig aus dem Bescheid hervor, dass der Verstoß in der fehlenden Ende-zu-Ende-Verschlüsselung gesehen wird. So weit, so spektakulär.
In demselben Satz wird dieser Umstand aber stark relativiert:
„Nach hiesiger Auffassung ist sowohl bei Gesundheitsdaten als auch bei Personaldaten davon auszugehen, dass diese nur mit einer Ende-zu-Ende-Verschlüsselung per E-Mail versandt werden dürfen.“
TLfDI, Bescheid vom 03.08.2023; Hervorhebungen hinzugefügt
Gemessen an der Orientierungshilfe der deutschen Aufsichtshörden (DSK) zum Thema ist das einzig neue an dieser Aussage, dass der TLfDI die Pflicht zur Ende-zu-Ende-Verschlüsselung auch auf „Personaldaten“ erstreckt.
Das leuchtet aber bei näherer Überlegung ein, denn im Arbeitnehmer-Arbeitgeber-Verhältnis werden in der Regel im Rahmen der Auskunft (gemäß Art. 15 DSGVO), die hier zugrunde lag, Personaldaten über den Arbeitnehmer übersandt, die durchaus sensible Daten (im Sinne des Art. 9 DSGVO) enthalten können, etwa die Religionszugehörigkeit.
Außerdem beachtenswert ist lediglich, dass der TLfDI die datenschutzrechtlichen Pflichten des Verantwortlichen hinsichtlich der Datensicherheit (gemäß Art. 32 DSGVO) – hier also die Pflicht zur Ende-zu-Ende-Verschlüsselung – als nicht dispositiv bewertet. Der Betroffene konnte also auch nicht in ein niedrigeres Schutzniveau einwilligen. Das sehen bekanntlich nicht alle Aufsichtsbehörden so (vgl. Vermerk der Hamburgischen Beauftragten für den Datenschutz und Informationsfreiheit vom 05.01.2022; Beschluss der DSK vom 24.11.2021).
Fazit: Nicht jede E-Mail muss Ende-zu-Ende verschlüsselt werden.
Es kommt immer auf den Inhalt der E-Mail an. Wenn Unternehmen personenbezogene Daten per E-Mail versenden, die besonders sensibel sind, z.B. Gesundheitsdaten, aber wohl auch Personaldaten, dann müssen Sie auf Ende-zu-Ende-Verschlüsselung oder gleichwertige Maßnahmen (z.B. Portallösungen) zurückgreifen. Das sehen die deutschen Aufsichtsbehörden jedenfalls seit 2021 so.
Ob als Ausnahme hiervon die betroffene Person in ein niedrigeres Schutzniveau einwilligen kann, ist weiterhin umstritten.
Unternehmen sollten also überprüfen, in welchen Geschäftsprozessen E-Mail-Versand von personenbezogenen Daten stattfindet und ob dabei sensible Daten übertragen werden.
