Ein Beschäftigter reichte beim Landesdatenschutzbeauftragten Thüringen Beschwerde gegen seinen Arbeitgeber ein, da dieser Personendaten an den Beschäftigten in einer unverschlüsselten E-Mail verschickt hatte. Die Aufsichtsbehörde teilte die Auffassung des Beschäftigten und stellte einen Verstoß gegen die DSGVO fest. Im weiteren Verlauf kam es auch zu einer gerichtlichen Auseinandersetzung wegen dieses Vorfalls. In seiner Urteilsbegründung bestätigte das Arbeitsgericht Suhl im Dezember letzten Jahres, dass es sich in diesem Fall um einen Verstoß gegen Art. 5 Abs.1 Buchst. f) DSGVO handelt.

Art. 5 Abs.1 Buchst. f) DSGVO verlangt von den für die Datenverarbeitung verantwortlichen Unternehmen (sowie Unternehmerinnen und Unternehmern)  geeignete technische und organisatorische Maßnahmen, um die Integrität und Vertraulichkeit der verarbeiteten Daten zu gewährleisten. Dazu gehört nach Art. 32 DSGVO insbesondere auch die Verschlüsselung von Personendaten. Im Falle einer Anzeige eines derartigen Verstoßes bei der zuständigen Aufsichtsbehörde droht also potentiell ein Bußgeld wegen eines dersartigen Verstoßes. Unter Berücksichtigung dieses Falles und insbesondere unter Berücksichtigung des Urteils des EuGH vom 04.05.2023 besteht zusätzlich die Gefahr eines berechtigten Schadensersatzanspruches, wenn neben dem Verstoß gegen die DSGVO auch ein immaterieller Schaden des Betroffenen und ein Kausalzusammenhang zwischen dem Datenschutzverstoß und dem immateriellen Schaden nachgewiesen wird.