In der heutigen digitalen Ära haben sich viele von uns an Datenschutzerklärungen und Cookiebanner gewöhnt. Diese sind fast überall präsent, wenn wir im Internet surfen. Doch meiner Erfahrung nach wird der betriebliche Datenschutz von vielen Unternehmen unterschätzt oder gar missachtet. Während Online-Datenschutzmaßnahmen inzwischen fast zur Routine geworden sind, fehlt es beim betrieblichen Datenschutz und beim Umgang mit den Daten von Mitarbeitern oft am Problembewusstsein. Ein aktuelles Beispiel aus Berlin verdeutlicht die Tragweite dieses Problems.
Was ist passiert?
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen ein Unternehmen Bußgelder in Höhe von insgesamt 215.000 Euro verhängt. Der Grund: Das Unternehmen hatte unzulässigerweise sensible Informationen über den Gesundheitszustand einzelner Beschäftigter oder deren Interesse an einer Betriebsratsgründung dokumentiert. Der Bußgeldbescheid ist noch nicht rechtskräftig.
Von März bis Juli 2021 führte eine Vorgesetzte des Unternehmens auf Weisung der Geschäftsführung eine tabellarische Übersicht aller Beschäftigten in der Probezeit. In dieser Liste wurden elf Personen als „kritisch“ oder „sehr kritisch“ für eine weitere Beschäftigung eingestuft. Die Begründungen hierfür bezogen sich unter anderem auf persönliche Äußerungen, gesundheitliche Gründe und außerbetriebliche Umstände. Besonders brisant: Auch ein mögliches Interesse an der Gründung eines Betriebsrates und die regelmäßige Teilnahme an einer Psychotherapie wurden als Gründe aufgeführt.
Die Berliner Datenschutzbeauftragte erfuhr durch Medienberichte und eine persönliche Beschwerde eines Betroffenen von dem Vorfall und leitete eine Prüfung ein. Das Ergebnis war eindeutig: Die Verarbeitung der erhobenen Daten war in den beanstandeten Fällen nicht rechtmäßig. Zusätzlich zu diesem Hauptverstoß wurden drei weitere Bußgelder gegen das Unternehmen verhängt, die sich auf insgesamt rund 40.000 Euro beliefen.
Meike Kamp, die Berliner Beauftragte für Datenschutz und Informationsfreiheit, betonte: „Die Erhebung, Speicherung und Verwendung von Beschäftigtendaten müssen stets im zulässigen Zusammenhang mit dem Beschäftigungsverhältnis erfolgen. Das war in diesem Fall nicht gegeben. Insbesondere Gesundheitsdaten sind besonders sensitive Informationen, die nur in engen Grenzen verarbeitet werden dürfen.“
Grundsätzlich dürfen Arbeitgeber:innen Überlegungen anstellen, inwiefern Beschäftigte weiterbeschäftigt werden sollen. Dabei dürfen auch personenbezogene Daten verarbeitet werden. Diese Daten müssen jedoch für diesen Zweck geeignet und erforderlich sein. Sie dürfen nur Rückschlüsse auf Leistung oder Verhalten zulassen, die in direktem Zusammenhang mit dem Beschäftigungsverhältnis stehen.
Bei der Bemessung der Bußgelder berücksichtigte die BlnBDI den Umsatz des Unternehmens und die Anzahl der betroffenen Beschäftigten. Positiv wurde hervorgehoben, dass das Unternehmen umfassend mit der BlnBDI kooperiert hat und den Verstoß nach öffentlichem Bekanntwerden bereits ohne Aufforderung von sich aus abgestellt hat.
Fazit
Der betriebliche Datenschutz ist ein komplexes und sensibles Thema, das nicht auf die leichte Schulter genommen werden sollte. Es ist dringend anzuraten, dass Unternehmen hier Vorkehrungen treffen und transparente Vereinbarungen schaffen. Nicht nur verhindert dies Ärger mit den Datenschutzbehörden, sondern kann auch das Vertrauen von Mitarbeitern erhöhen. Ein verantwortungsvoller Umgang mit Mitarbeiterdaten ist nicht nur rechtlich geboten, sondern auch ein Zeichen von Wertschätzung und Respekt.
