Ein Unternehmen hat Daten der Mitarbeiter gesammelt, die sich in der Probezeit befanden. Zusammengetragen wurden die Daten in einer Liste – der Weiterverarbeitung haben die Betroffenen aber nie zugestimmt. Das rief die BlnBDI auf den Plan, die den Fall untersuchte.
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) verhängte Bußgelder in Höhe von insgesamt 215.000 € gegen ein Unternehmen, das sensible Mitarbeiterdaten sammelte und weiterverwertete. Die BlnBDI sah darin einen Verstoß gegen die Datenschutzgrundverordnung (DSGVO).
Betroffen ist ein Tochterunternehmen des Humboldt Forums. Zu den Dienstleistungen, die das Unternehmen vornimmt, gehören unter anderem der Besucherservice und Wachaufgaben. Eine leitende Angestellte des Unternehmens erhielt von der Geschäftsführung die Anweisung, eine tabellarische Übersicht aller Angestellten in der Probezeit anzufertigen. Nachdem sie die Übersicht angefertigt hatte, bewertete sie die weitere Anstellung von elf Personen als “kritisch” oder „sehr kritisch“. Die Begründung für diese Bewertung wurde in einer zusätzlichen Spalte mit dem Titel „Begründung“ angegeben.
Das Problem: Unter den in dieser Spalte aufgeführten Begründungen befanden sich Informationen zu persönlichen Aussagen der Mitarbeiter sowie zu Gründen, die außerhalb des Betriebs lagen – darunter auch gesundheitliche Aspekte. Ebenso wurde ein potenzielles Interesse an der Gründung eines Betriebsrats und sogar die regelmäßige Teilnahme an einer Psychotherapie vermerkt. Die meisten dieser Angaben waren auf Grundlage mündlicher Aussagen der betreffenden Angestellten gesammelt worden. Den Betroffenen war dabei nicht bewusst, dass diese Daten in Form einer Liste weiterverarbeitet werden würden.
BInBDI wurde auf Fall aufmerksam
Durch Medienberichte und eine persönliche Beschwerde eines Angestellten wurde die BlnBDI auf den Vorfall aufmerksam gemacht. Die BlnBDI reagierte sofort und leitete eine Untersuchung ein, in der die Anschuldigungen geprüft wurden. Im Zuge ihrer Untersuchung kam die Behörde zu dem Schluss, dass die Verarbeitung der erhobenen Daten in den kritisierten Fällen nicht im Einklang mit den rechtlichen Vorgaben erfolgte. Insbesondere Gesundheitsdaten seien besonders sensitive Informationen, die nur in engen Grenzen verarbeitet werden dürften.
Soforthilfe vom Anwalt
Sie brauchen rechtliche Beratung? Rufen Sie uns an für eine kostenlose Ersteinschätzung oder nutzen Sie unser Kontaktformular.
Grundsätzlich ist es Arbeitgebern zwar gestattet, zu überlegen, ob sie Personen weiterbeschäftigen möchten – in diesem Zuge dürfen dementsprechend auch personenbezogene Daten verarbeitet werden. Jedoch müssen die verarbeiteten Daten für den entsprechenden Zweck geeignet und notwendig sein. Die Daten sollten lediglich Schlüsse auf Leistung oder Verhalten zulassen, die unmittelbar mit dem Arbeitsverhältnis in Zusammenhang stehen. Arbeitgeber dürfen auch von den Beschäftigten selbst bereitgestellte Informationen nicht einfach weiterverarbeiten. Es ist stets sicherzustellen, dass eine mögliche Verarbeitung erforderlich und angemessen ist. Art. 9 DSGVO listet besondere Kategorien personenbezogener Daten auf, die nur unter bestimmten Ausnahmen gesammelt und verarbeitet werden dürfen. Zu diesen Kategorien gehören zum Beispiel Gewerkschaftszugehörigkeit, Gesundheitszustand, Sexualleben, politische Überzeugungen und ethnische Herkunft. Diese sensiblen Daten verdienen einen besonderen Schutz. Im vorliegenden Fall hat das Unternehmen jedoch nichts dafür getan, einen solchen Schutz zu gewährleisten.
Mehrere Bußgelder für das Unternehmen
Die BlnBDI hat gegen das Unternehmen zunächst drei Bußgelder in Höhe von insgesamt rund 40.000 € verhängt. Diese Strafen wurden einerseits aufgrund der fehlenden Einbindung der betrieblichen Datenschutzbeauftragten bei der Erstellung der Liste und andererseits aufgrund der verspäteten Meldung einer Datenpanne verhängt. Darüber hinaus wurde die oben genannte Liste nicht gemäß den Anforderungen des Art. 30 der DSGVO im Verarbeitungsverzeichnis aufgeführt. Das Verarbeitungsverzeichnis soll gewährleisten, dass alle Datenverarbeitungen, die personenbezogene Daten betreffen, innerhalb des Unternehmens dokumentiert und transparent gemachen werden. In diesem Fall hätte somit auch das Aufnehmen der persönlichen Informationen der Personen in der Probezeit als Datenverarbeitung erfasst werden müssen.
Gemäß Art. 83 DSGVO können Geldbußen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden (abhängig davon, welcher Betrag höher ist). Der hier besonders schwerwiegende Verstoß der Verwertung der Gesundheitsdaten hatte einen maßgeblichen Einfluss auf die Höhe der Strafe. Die umfassende Kooperation des Unternehmens mit der BlnBDI wurde bei der Bußgeldfestsetzung berücksichtigt. Zudem wurde der Verstoß nach dessen öffentlicher Bekanntmachung ohne Aufforderung seitens des Unternehmens umgehend behoben, was ebenfalls zu einer Minderung der Strafe führte. Durch die einzelnen Verstöße, wobei der schwerwiegendste der Verstoß gegen den Schutz der sensiblen Daten war, kam insgesamt ein Bußgeld von 215.000 € zustande. Der Bußgeldbescheid ist noch nicht rechtskräftig.
agü