Skip to content

BlnBD: 215.000 EURO Bußgeld gegen Unternehmen u.a. wegen datenschutzwidriger Speicherung von Gesundheitsdaten von Beschäftigten in Probezeit

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat ein Bußgeld in Höhe von 215.000 EURO gegen ein Unternehmen u.a. wegen datenschutzwidriger Speicherung von Gesundheitsdaten und Interesse an Betriebsratsgründung von Beschäftigten in der Probezeit verhängt.

Die Pressemitteilung des der BlnBDI:
Eine Liste mit Informationen über Beschäftigte in der Probezeit

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen ein Unternehmen Bußgelder in Höhe von insgesamt 215.000 Euro verhängt. Das Unternehmen hatte u. a. unzulässigerweise sensible Informationen über den Gesundheitszustand einzelner Beschäftigter oder deren Interesse an einer Betriebsratsgründung dokumentiert. Der Bußgeldbescheid ist noch nicht rechtskräftig.

Um mögliche Kündigungen zum Ende der Probezeit vorzubereiten, führte eine Vorgesetzte auf Weisung der Geschäftsführung des Unternehmens von März bis Juli 2021 eine tabellarische Übersicht aller Beschäftigten in der Probezeit. Die Berliner Datenschutzbeauftragte erfuhr durch Medienberichte und eine persönliche Beschwerde eines Betroffenen von dem Vorfall und leitete eine Prüfung ein.

In der Übersicht listete die Vorgesetzte alle Mitarbeitenden in der Probezeit auf und bewertete die weitere Beschäftigung von elf Personen als „kritisch“ oder „sehr kritisch“. Diese Einstufung wurde in einer Tabellenspalte mit der Überschrift „Begründung“ näher erläutert. Hier fanden sich Angaben zu persönlichen Äußerungen sowie gesundheitlichen und außerbetrieblichen Gründen, die einer flexiblen Schichteinteilung entgegenstehen würden. Auch ein mögliches Interesse an der Gründung eines Betriebsrates und die regelmäßige Teilnahme an einer Psychotherapie wurden hier genannt. In vielen Fällen hatten die Beschäftigten die aufgeführten Informationen selbst für die Dienstplanung mitgeteilt. Die Weiterverarbeitung in der Liste war ihnen nicht bekannt.

Die Berliner Datenschutzbeauftragte kam bei ihrer Prüfung zu dem Ergebnis, dass die Verarbeitung der erhobenen Daten in den beanstandeten Fällen nicht rechtmäßig war. Zusätzlich zur Ahndung dieses strukturellen Verstoßes verhängte die BlnBDI gegen das Unternehmen drei weitere Bußgelder in Höhe von insgesamt rund 40.000 Euro wegen fehlender Beteiligung der betrieblichen Datenschutzbeauftragten bei der Erstellung der Liste, verspäteter Meldung einer Datenpanne und fehlender Erwähnung der Liste im Verarbeitungsverzeichnis.

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „Die Erhebung, Speicherung und Verwendung von Beschäftigtendaten müssen stets im zulässigen Zusammenhang mit dem Beschäftigungsverhältnis erfolgen. Das war in diesem Fall nicht gegeben. Insbesondere Gesundheitsdaten sind besonders sensitive Informationen, die nur in engen Grenzen verarbeitet werden dürfen.“

Grundsätzlich dürfen Arbeitgeber:innen Überlegungen anstellen, inwiefern Beschäftigte weiterbeschäftigt werden sollen und insofern auch personenbezogene Daten verarbeiten. Die verarbeiteten Daten müssen jedoch für diesen Zweck geeignet und erforderlich sein. Sie dürfen nur Rückschlüsse auf Leistung oder Verhalten zulassen, die in unmittelbarem Zusammenhang mit dem Beschäftigungsverhältnis stehen. Arbeitgeber:innen dürfen auch von Beschäftigten selbst mitgeteilte Informationen nicht einfach weiterverarbeiten, sondern müssen prüfen, ob die Verarbeitung erforderlich und angemessen ist.

Bei der Bemessung der Bußgelder berücksichtigte die BlnBDI den Umsatz des Unternehmens und die Anzahl der betroffenen Beschäftigten. Außerdem wurde berücksichtigt, dass insbesondere die Verarbeitung von Gesundheitsdaten ohne Rechtsgrundlage einen besonders schwerwiegenden Verstoß darstellt. Bußgeldmindernd wurde u. a. berücksichtigt, dass das Unternehmen umfassend mit der BlnBDI kooperiert hat und den Verstoß nach öffentlichem Bekanntwerden bereits ohne Aufforderung von sich aus abgestellt hat.



BAG: Betriebsratsvorsitzender kann nicht zugleich betrieblicher Datenschutzbeauftragter sein da Interessenkonflikte bestehen können

BAG
Urteil vom 06.06.2023
9 AZR 383/19


Das BAG hat entschieden, dass ein Betriebsratsvorsitzender nicht zugleich betrieblicher Datenschutzbeauftragter sein kann, da Interessenkonflikte bestehen können.

Die Pressemitteilung des Gerichts:
Betriebsratsvorsitzender als Datenschutzbeauftragter ?
Der Vorsitz im Betriebsrat steht einer Wahrnehmung der Aufgaben des Beauftragten für den Datenschutz typischerweise entgegen und berechtigt den Arbeitgeber in aller Regel, die Bestellung zum Datenschutzbeauftragten nach Maßgabe des BDSG in der bis zum 24. Mai 2018 gültigen Fassung (aF) zu widerrufen.

Der bei der Beklagten angestellte Kläger ist Vorsitzender des Betriebsrats und in dieser Funktion teilweise von der Arbeit freigestellt. Mit Wirkung zum 1. Juni 2015 wurde er von der Beklagten und weiteren in Deutschland ansässigen Tochtergesellschaften zum Datenschutzbeauftragten bestellt. Auf Veranlassung des Thüringer Landesbeauftragten für Datenschutz und Informationsfreiheit widerriefen die Beklagte und die weiteren Konzernunternehmen die Bestellung des Klägers am 1. Dezember 2017 wegen einer Inkompatibilität der Ämter mit sofortiger Wirkung. Nach Inkrafttreten der Verordnung (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie (RL) 95/46/EG (Datenschutz-Grundverordnung; im Folgenden DSGVO) beriefen sie den Kläger vorsorglich mit Schreiben vom 25. Mai 2018 gemäß Art. 38 Abs. 3 Satz 2 DSGVO als Datenschutzbeauftragten ab.

Der Kläger hat geltend gemacht, seine Rechtsstellung als betrieblicher Datenschutzbeauftragter der Beklagten bestehe unverändert fort. Die Beklagte hat die Auffassung vertreten, Interessenkonflikte bei der Wahrnehmung der Aufgaben als Datenschutzbeauftragter und Betriebsratsvorsitzender ließen sich nicht ausschließen. Die Unvereinbarkeit beider Ämter stellten einen wichtigen Grund zur Abberufung des Klägers dar.

Die Vorinstanzen haben der Klage stattgegeben. Die dagegen erhobene Revision der Beklagten hatte vor dem Neunten Senat des Bundesarbeitsgerichts Erfolg. Der Widerruf der Bestellung vom 1. Dezember 2017 war aus wichtigem Grund iSv. § 4f Abs. 3 Satz 4 BDSG aF iVm. § 626 Abs. 1 BGB gerechtfertigt. Ein solcher liegt vor, wenn der zum Beauftragten für den Datenschutz bestellte Arbeitnehmer die für die Aufgabenerfüllung erforderliche Fachkunde oder Zuverlässigkeit iSv. § 4f Abs. 2 Satz 1 BDSG aF nicht (mehr) besitzt. Die Zuverlässigkeit kann in Frage stehen, wenn Interessenkonflikte drohen. Ein abberufungsrelevanter Interessenkonflikt ist anzunehmen, wenn der Datenschutzbeauftragte innerhalb einer Einrichtung eine Position bekleidet, die die Festlegung von Zwecken und Mitteln der Verarbeitung personenbezogener Daten zum Gegenstand hat. Dabei sind alle relevanten Umstände des Einzelfalls zu würdigen. Diese vom Gerichtshof der Europäischen Union (EuGH 9. Februar 2023 – C-453/21 – [X-FAB Dresden]) zu einem Interessenkonflikt iSv. Art. 38 Abs. 6 Satz 2 DSGVO vorgenommene Wertung gilt nicht erst seit Novellierung des Datenschutzrechts aufgrund der DSGVO, sondern entsprach bereits der Rechtslage im Geltungsbereich des BDSG aF.

Die Aufgaben eines Betriebsratsvorsitzenden und eines Datenschutzbeauftragten können danach typischerweise nicht durch dieselbe Person ohne Interessenkonflikt ausgeübt werden. Personenbezogene Daten dürfen dem Betriebsrat nur zu Zwecken zur Verfügung gestellt werden, die das Betriebsverfassungsgesetz ausdrücklich vorsieht. Der Betriebsrat entscheidet durch Gremiumsbeschluss darüber, unter welchen konkreten Umständen er in Ausübung seiner gesetzlichen Aufgaben welche personenbezogenen Daten vom Arbeitgeber fordert und auf welche Weise er diese anschließend verarbeitet. In diesem Rahmen legt er die Zwecke und Mittel der Verarbeitung personenbezogener Daten fest. Inwieweit jedes an der Entscheidung mitwirkende Mitglied des Gremiums als Datenschutzbeauftragter die Einhaltung der gesetzlichen Pflichten des Datenschutzes hinreichend unabhängig überwachen kann, bedurfte keiner abschließenden Entscheidung. Jedenfalls die hervorgehobene Funktion des Betriebsratsvorsitzenden, der den Betriebsrat im Rahmen der gefassten Beschlüsse vertritt, hebt die zur Erfüllung der Aufgaben eines Datenschutzbeauftragten erforderliche Zuverlässigkeit iSv. § 4f Abs. 2 Satz 1 BDSG aF auf.

Bundesarbeitsgericht, Urteil vom 6. Juni 2023 – 9 AZR 383/19
Vorinstanz: Sächsisches Landesarbeitsgericht, Urteil vom 19. August 2019 – 9 Sa 268/18



EuGH: Vorgaben der DSGVO zur Abberufung eines Datenschutzbeauftragten stehen strengeren Regelungen im BDSG nicht entgegen

EuGH
Urteil vom 09.02.2023
C‑453/21
X-FAB Dresden GmbH & Co. KG gegen FC


Der EuGH hat entschieden, dass die Vorgaben der DSGVO zur Abberufung eines Datenschutzbeauftragten den strengeren Regelungen im BDSG nicht entgegenstehen.

Tenor der Entscheidung:
1. Art. 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) ist dahin auszulegen, dass er einer nationalen Regelung nicht entgegensteht, nach der ein bei einem Verantwortlichen oder einem Auftragsverarbeiter beschäftigter Datenschutzbeauftragter nur aus wichtigem Grund abberufen werden kann, auch wenn die Abberufung nicht mit der Erfüllung seiner Aufgaben zusammenhängt, sofern diese Regelung die Verwirklichung der Ziele dieser Verordnung nicht beeinträchtigt.

2. Art. 38 Abs. 6 der Verordnung (EU) 2016/679 ist dahin auszulegen, dass ein „Interessenkonflikt“ im Sinne dieser Bestimmung bestehen kann, wenn einem Datenschutzbeauftragten andere Aufgaben oder Pflichten übertragen werden, die ihn dazu veranlassen würden, die Zwecke und Mittel der Verarbeitung personenbezogener Daten bei dem Verantwortlichen oder seinem Auftragsverarbeiter festzulegen. Ob dies der Fall ist, muss das nationale Gericht im Einzelfall auf der Grundlage einer Würdigung aller relevanten Umstände, insbesondere der Organisationsstruktur des Verantwortlichen oder seines Auftragsverarbeiters, und im Licht aller anwendbaren Rechtsvorschriften, einschließlich etwaiger interner Vorschriften des Verantwortlichen oder des Auftragsverarbeiters, feststellen.

Den Volltext der Entscheidung finden Sie hier:

BlnBDI: 525.000 EURO Bußgeld gegen Berliner E-Commerce-Konzern nach vorheriger Verwarnung wegen Verstoßes gegen DSGVO durch Interessenkonflikt des betrieblichen Datenschutzbeauftragten

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat ein Bußgeld in Höhe von 525.000 EURO gegen einen Berliner E-Commerce-Konzern wegen Verstoßes gegen die Vorgaben der DSGVO durch einen Interessenkonflikt des betrieblichen Datenschutzbeauftragten verhängt. Die Datenschutzbehörde hatte vor Verhängung des Bußgelds fruchtlos eine Verwarnung ausgesprochen.

Die Pressemitteilung der BlnBDI:
Interessenkonflikt des betrieblichen Datenschutzbeauftragten: 525.000 Euro Bußgeld gegen die Tochtergesellschaft eines Berliner E-Commerce-Konzerns

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen die Tochtergesellschaft eines Berliner Handelskonzerns ein Bußgeld in Höhe von 525.000 Euro wegen eines Interessenkonflikts des betrieblichen Datenschutzbeauftragten verhängt. Das Unternehmen hatte einen Datenschutzbeauftragten benannt, der Entscheidungen unabhängig kontrollieren sollte, die er selbst in einer anderen Funktion getroffen hatte. Das Bußgeld ist noch nicht rechtskräftig. Betriebliche Datenschutzbeauftragte haben eine wichtige Aufgabe: Sie beraten das Unternehmen hinsichtlich der datenschutzrechtlichen Pflichten und kontrollieren die Einhaltung der Datenschutzvorschriften. Diese Funktion dürfen gemäß Art. 38 Abs. 6 Satz 2 Datenschutz-Grundverordnung (DS-GVO) ausschließlich Personen ausüben, die keinen Interessenkonflikten durch andere Aufgaben unterliegen. Das wäre zum Beispiel bei Personen mit leitenden Funktionen im Unternehmen der Fall, die selber maßgebliche Entscheidungen über die Verarbeitung von personenbezogenen Daten im Unternehmen treffen. Die Aufgabe darf demnach nicht von Personen wahrgenommen werden, die sich dadurch selbst überwachen würden.

So ein Interessenkonflikt lag nach Auffassung der BlnBDI im Falle eines Datenschutzbeauftragten einer Tochtergesellschaft eines Berliner E-Commerce-Konzerns vor. Die Person war gleichzeitig Geschäftsführer von zwei Dienstleistungsgesellschaften, die im Auftrag genau jenes Unternehmens personenbezogene Daten verarbeiteten, für die er als Datenschutzbeauftragter tätig war. Diese Dienstleistungsgesellschaften sind ebenfalls Teil des Konzerns; stellen den Kund:innenservice und führen Bestellungen aus.

Der Datenschutzbeauftragte musste somit die Einhaltung des Datenschutzrechts durch die im Rahmen der Auftragsverarbeitung tätigen Dienstleistungsgesellschaften überwachen, die von ihm selbst als Geschäftsführer geleitet wurden. Die BlnBDI sah in diesem Fall einen Interessenkonflikt und damit einen Verstoß gegen die Datenschutz-Grundverordnung. Die Aufsichtsbehörde erteilte daher im Jahr 2021 zunächst eine Verwarnung gegen das Unternehmen.

Nachdem eine erneute Überprüfung in diesem Jahr ergab, dass der Verstoß trotz der Verwarnung weiterbestand, verhängte die BlnBDI das Bußgeld, das noch nicht rechtskräftig ist.

Volker Brozio, kommissarischer Dienststellenleiter der BlnBDI: „Dieses Bußgeld unterstreicht die bedeutende Rolle der Datenschutzbeauftragten in Unternehmen. Ein Datenschutzbeauftragter kann nicht einerseits die Einhaltung des Datenschutzrechts überwachen und andererseits darüber mitentscheiden. Eine solche Selbstkontrolle widerspricht der Funktion eines Datenschutzbeauftragten, der gerade eine unabhängige Instanz sein soll, die im Unternehmen auf die Einhaltung des Datenschutzes hinwirkt.“

Bei der Bußgeldzumessung berücksichtigte die BlnBDI den dreistelligen Millionenumsatz des ECommerce-Konzerns im vorangegangen Geschäftsjahr und die bedeutende Rolle des Datenschutzbeauftragten als Ansprechpartner für die hohe Zahl an Beschäftigten und Kund:innen. Berücksichtigung fand auch die vorsätzliche Weiterbenennung des Datenschutzbeauftragten über fast ein Jahr trotz der bereits erteilten Verwarnung. Als bußgeldmindernd wurde u. a. eingestuft, dass das Unternehmen umfangreich mit der BlnBDI zusammengearbeitet und den Verstoß während des laufenden Bußgeldverfahrens abgestellt hat.

„Zur Vermeidung von Datenschutzverstößen sollten Unternehmen etwaige Doppelrollen der betrieblichen Datenschutzbeauftragten in Konzernstrukturen auf Interessenkonflikte hin prüfen“, sagt Brozio. „Das gilt insbesondere dann, wenn Auftragsverarbeitungen oder gemeinsame Verantwortlichkeiten zwischen den Konzerngesellschaften bestehen.“