BlnBD: 215.000 EURO Bußgeld gegen Unternehmen u.a. wegen datenschutzwidriger Speicherung von Gesundheitsdaten von Beschäftigten in Probezeit
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat ein Bußgeld in Höhe von 215.000 EURO gegen ein Unternehmen u.a. wegen datenschutzwidriger Speicherung von Gesundheitsdaten und Interesse an Betriebsratsgründung von Beschäftigten in der Probezeit verhängt.
Die Pressemitteilung des der BlnBDI:
Eine Liste mit Informationen über Beschäftigte in der Probezeit
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen ein Unternehmen Bußgelder in Höhe von insgesamt 215.000 Euro verhängt. Das Unternehmen hatte u. a. unzulässigerweise sensible Informationen über den Gesundheitszustand einzelner Beschäftigter oder deren Interesse an einer Betriebsratsgründung dokumentiert. Der Bußgeldbescheid ist noch nicht rechtskräftig.
Um mögliche Kündigungen zum Ende der Probezeit vorzubereiten, führte eine Vorgesetzte auf Weisung der Geschäftsführung des Unternehmens von März bis Juli 2021 eine tabellarische Übersicht aller Beschäftigten in der Probezeit. Die Berliner Datenschutzbeauftragte erfuhr durch Medienberichte und eine persönliche Beschwerde eines Betroffenen von dem Vorfall und leitete eine Prüfung ein.
In der Übersicht listete die Vorgesetzte alle Mitarbeitenden in der Probezeit auf und bewertete die weitere Beschäftigung von elf Personen als „kritisch“ oder „sehr kritisch“. Diese Einstufung wurde in einer Tabellenspalte mit der Überschrift „Begründung“ näher erläutert. Hier fanden sich Angaben zu persönlichen Äußerungen sowie gesundheitlichen und außerbetrieblichen Gründen, die einer flexiblen Schichteinteilung entgegenstehen würden. Auch ein mögliches Interesse an der Gründung eines Betriebsrates und die regelmäßige Teilnahme an einer Psychotherapie wurden hier genannt. In vielen Fällen hatten die Beschäftigten die aufgeführten Informationen selbst für die Dienstplanung mitgeteilt. Die Weiterverarbeitung in der Liste war ihnen nicht bekannt.
Die Berliner Datenschutzbeauftragte kam bei ihrer Prüfung zu dem Ergebnis, dass die Verarbeitung der erhobenen Daten in den beanstandeten Fällen nicht rechtmäßig war. Zusätzlich zur Ahndung dieses strukturellen Verstoßes verhängte die BlnBDI gegen das Unternehmen drei weitere Bußgelder in Höhe von insgesamt rund 40.000 Euro wegen fehlender Beteiligung der betrieblichen Datenschutzbeauftragten bei der Erstellung der Liste, verspäteter Meldung einer Datenpanne und fehlender Erwähnung der Liste im Verarbeitungsverzeichnis.
Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „Die Erhebung, Speicherung und Verwendung von Beschäftigtendaten müssen stets im zulässigen Zusammenhang mit dem Beschäftigungsverhältnis erfolgen. Das war in diesem Fall nicht gegeben. Insbesondere Gesundheitsdaten sind besonders sensitive Informationen, die nur in engen Grenzen verarbeitet werden dürfen.“
Grundsätzlich dürfen Arbeitgeber:innen Überlegungen anstellen, inwiefern Beschäftigte weiterbeschäftigt werden sollen und insofern auch personenbezogene Daten verarbeiten. Die verarbeiteten Daten müssen jedoch für diesen Zweck geeignet und erforderlich sein. Sie dürfen nur Rückschlüsse auf Leistung oder Verhalten zulassen, die in unmittelbarem Zusammenhang mit dem Beschäftigungsverhältnis stehen. Arbeitgeber:innen dürfen auch von Beschäftigten selbst mitgeteilte Informationen nicht einfach weiterverarbeiten, sondern müssen prüfen, ob die Verarbeitung erforderlich und angemessen ist.
Bei der Bemessung der Bußgelder berücksichtigte die BlnBDI den Umsatz des Unternehmens und die Anzahl der betroffenen Beschäftigten. Außerdem wurde berücksichtigt, dass insbesondere die Verarbeitung von Gesundheitsdaten ohne Rechtsgrundlage einen besonders schwerwiegenden Verstoß darstellt. Bußgeldmindernd wurde u. a. berücksichtigt, dass das Unternehmen umfassend mit der BlnBDI kooperiert hat und den Verstoß nach öffentlichem Bekanntwerden bereits ohne Aufforderung von sich aus abgestellt hat.
Die Pressemitteilung des der BlnBDI:
Eine Liste mit Informationen über Beschäftigte in der Probezeit
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen ein Unternehmen Bußgelder in Höhe von insgesamt 215.000 Euro verhängt. Das Unternehmen hatte u. a. unzulässigerweise sensible Informationen über den Gesundheitszustand einzelner Beschäftigter oder deren Interesse an einer Betriebsratsgründung dokumentiert. Der Bußgeldbescheid ist noch nicht rechtskräftig.
Um mögliche Kündigungen zum Ende der Probezeit vorzubereiten, führte eine Vorgesetzte auf Weisung der Geschäftsführung des Unternehmens von März bis Juli 2021 eine tabellarische Übersicht aller Beschäftigten in der Probezeit. Die Berliner Datenschutzbeauftragte erfuhr durch Medienberichte und eine persönliche Beschwerde eines Betroffenen von dem Vorfall und leitete eine Prüfung ein.
In der Übersicht listete die Vorgesetzte alle Mitarbeitenden in der Probezeit auf und bewertete die weitere Beschäftigung von elf Personen als „kritisch“ oder „sehr kritisch“. Diese Einstufung wurde in einer Tabellenspalte mit der Überschrift „Begründung“ näher erläutert. Hier fanden sich Angaben zu persönlichen Äußerungen sowie gesundheitlichen und außerbetrieblichen Gründen, die einer flexiblen Schichteinteilung entgegenstehen würden. Auch ein mögliches Interesse an der Gründung eines Betriebsrates und die regelmäßige Teilnahme an einer Psychotherapie wurden hier genannt. In vielen Fällen hatten die Beschäftigten die aufgeführten Informationen selbst für die Dienstplanung mitgeteilt. Die Weiterverarbeitung in der Liste war ihnen nicht bekannt.
Die Berliner Datenschutzbeauftragte kam bei ihrer Prüfung zu dem Ergebnis, dass die Verarbeitung der erhobenen Daten in den beanstandeten Fällen nicht rechtmäßig war. Zusätzlich zur Ahndung dieses strukturellen Verstoßes verhängte die BlnBDI gegen das Unternehmen drei weitere Bußgelder in Höhe von insgesamt rund 40.000 Euro wegen fehlender Beteiligung der betrieblichen Datenschutzbeauftragten bei der Erstellung der Liste, verspäteter Meldung einer Datenpanne und fehlender Erwähnung der Liste im Verarbeitungsverzeichnis.
Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „Die Erhebung, Speicherung und Verwendung von Beschäftigtendaten müssen stets im zulässigen Zusammenhang mit dem Beschäftigungsverhältnis erfolgen. Das war in diesem Fall nicht gegeben. Insbesondere Gesundheitsdaten sind besonders sensitive Informationen, die nur in engen Grenzen verarbeitet werden dürfen.“
Grundsätzlich dürfen Arbeitgeber:innen Überlegungen anstellen, inwiefern Beschäftigte weiterbeschäftigt werden sollen und insofern auch personenbezogene Daten verarbeiten. Die verarbeiteten Daten müssen jedoch für diesen Zweck geeignet und erforderlich sein. Sie dürfen nur Rückschlüsse auf Leistung oder Verhalten zulassen, die in unmittelbarem Zusammenhang mit dem Beschäftigungsverhältnis stehen. Arbeitgeber:innen dürfen auch von Beschäftigten selbst mitgeteilte Informationen nicht einfach weiterverarbeiten, sondern müssen prüfen, ob die Verarbeitung erforderlich und angemessen ist.
Bei der Bemessung der Bußgelder berücksichtigte die BlnBDI den Umsatz des Unternehmens und die Anzahl der betroffenen Beschäftigten. Außerdem wurde berücksichtigt, dass insbesondere die Verarbeitung von Gesundheitsdaten ohne Rechtsgrundlage einen besonders schwerwiegenden Verstoß darstellt. Bußgeldmindernd wurde u. a. berücksichtigt, dass das Unternehmen umfassend mit der BlnBDI kooperiert hat und den Verstoß nach öffentlichem Bekanntwerden bereits ohne Aufforderung von sich aus abgestellt hat.