Sehr geehrte Leserinnen und Leser,
heute möchte ich auf eine wichtige Nachricht zum Thema Datenschutzverstoß bei der Verarbeitung von Beschäftigtendaten während der Probezeit aufmerksam machen. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat kürzlich Bußgelder in Höhe von insgesamt 215.000 Euro gegen ein Unternehmen verhängt. Der Grund: Das Unternehmen hatte sensible Informationen über Beschäftigte während ihrer Probezeit gesammelt und verarbeitet, ohne die erforderliche rechtliche Grundlage dafür zu haben.
Die Datenschutzbehörde wurde auf diesen Vorfall aufmerksam, als sie Medienberichte und eine Beschwerde eines betroffenen Mitarbeiters erhielt. In der darauffolgenden Prüfung stellte die Berliner Datenschutzbeauftragte fest, dass die Verarbeitung der erhobenen Daten in den beanstandeten Fällen nicht rechtmäßig war.
Was genau ist passiert?
Eine Vorgesetzte hatte auf Anweisung der Geschäftsführung des Unternehmens von März bis Juli 2021 eine Liste erstellt, auf der alle Beschäftigten in der Probezeit aufgeführt waren. Dabei wurden nicht nur die Namen erfasst, sondern auch persönliche Informationen wie Gesundheitszustand, mögliche Interessen an der Gründung eines Betriebsrats und sogar Informationen über psychotherapeutische Behandlungen. Viele dieser Informationen hatten die Beschäftigten selbst für die Dienstplanung mitgeteilt, ohne zu wissen, dass sie in dieser Liste verarbeitet werden würden.
Warum ist das problematisch?
Die Erhebung und Verarbeitung von Mitarbeiterdaten müssen immer im Zusammenhang mit dem Beschäftigungsverhältnis stehen und im Einklang mit den Datenschutzgesetzen erfolgen. In diesem Fall war das nicht gegeben, insbesondere bei der Verarbeitung von Gesundheitsdaten handelt es sich um besonders sensible Informationen, die nur in engen Grenzen verarbeitet werden dürfen.
Welche Konsequenzen gab es?
Die Berliner Datenschutzbeauftragte verhängte nicht nur Bußgelder gegen das Unternehmen wegen des Datenschutzverstoßes, sondern auch wegen weiterer Verstöße, darunter die fehlende Beteiligung der betrieblichen Datenschutzbeauftragten, verspätete Meldung einer Datenpanne und das Fehlen der Liste im Verarbeitungsverzeichnis.
Was können wir daraus lernen?
Arbeitgeber können durchaus Überlegungen anstellen, ob Beschäftigte weiterbeschäftigt werden sollen, und dabei auch personenbezogene Daten verarbeiten. Allerdings müssen diese Daten für diesen Zweck erforderlich und angemessen sein. Sie dürfen nur Rückschlüsse auf Leistung oder Verhalten zulassen, die unmittelbar mit dem Beschäftigungsverhältnis zusammenhängen.
Es ist auch wichtig zu beachten, dass Arbeitgeber von Beschäftigten selbst mitgeteilte Informationen nicht einfach weiterverarbeiten dürfen, sondern prüfen müssen, ob die Verarbeitung erforderlich und angemessen ist.
In der Bemessung der Bußgelder wurde der Umsatz des Unternehmens und die Anzahl der betroffenen Beschäftigten berücksichtigt. Ebenso wurde berücksichtigt, dass die Verarbeitung von Gesundheitsdaten ohne Rechtsgrundlage als besonders schwerwiegender Verstoß betrachtet wird. Bußgeldmindernd wurde gewertet, dass das Unternehmen nach Bekanntwerden des Verstoßes bereits von sich aus Maßnahmen zur Behebung ergriffen hat und umfassend mit der Datenschutzbehörde kooperierte.
Fazit:
Dieser Fall zeigt die Bedeutung des Datenschutzes im Arbeitsrecht. Arbeitgeber müssen sorgfältig mit Mitarbeiterdaten umgehen und sicherstellen, dass sie nur für legitime Zwecke verwendet werden. Verstöße können erhebliche rechtliche und finanzielle Konsequenzen nach sich ziehen. Es ist ratsam, rechtliche Expertise in Anspruch zu nehmen, um sicherzustellen, dass Datenschutzbestimmungen eingehalten werden und mögliche Risiken vermieden werden.
Bei Fragen zum Datenschutz im Arbeitsrecht stehe ich Ihnen gerne zur Verfügung.
Mit freundlichen Grüßen,
Dr. Frank Biermann
Fachanwalt für Arbeitsrecht