Das Wichtigste in Kürze
- Betrieblicher Datenschutz ist ein oft unterschätztes Thema, dessen Missachtung zu hohen Bußgeldern führen kann.
- Unzulässige Datenerhebung, insbesondere von sensiblen Gesundheitsdaten oder Informationen zur Betriebsratsgründung, wird von Datenschutzbehörden streng geahndet.
- Arbeitgeber dürfen Mitarbeiterdaten nur zweckgebunden und im direkten Zusammenhang mit dem Beschäftigungsverhältnis verarbeiten.
- Kooperation mit den Behörden und proaktive Maßnahmen zur Behebung von Verstößen können sich positiv auf die Bußgeldbemessung auswirken.
- Präventive Vorkehrungen und transparente Vereinbarungen im betrieblichen Datenschutz sind essenziell, um rechtliche Konsequenzen zu vermeiden und das Vertrauen der Mitarbeiter zu stärken.
Betrieblicher Datenschutz: Berlin verhängt hohe Bußgelder für unzulässige Mitarbeiterdatenerhebung
In der heutigen digitalen Ära sind Datenschutzerklärungen und Cookie-Banner allgegenwärtig. Wir sind es gewohnt, ihnen beim Surfen im Internet zu begegnen. Doch die Praxis zeigt, dass der betriebliche Datenschutz von vielen Unternehmen unterschätzt oder gar missachtet wird.
Während Online-Datenschutzmaßnahmen nahezu Routine sind, fehlt es beim Umgang mit den Daten von Mitarbeitern oft am Problembewusstsein. Ein aktuelles Beispiel aus Berlin verdeutlicht die ernsten Konsequenzen dieses Problems.
Ein Fallbeispiel: Hohe Bußgelder für Verstöße im betrieblichen Datenschutz
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) verhängte gegen ein Unternehmen Bußgelder in Höhe von insgesamt 215.000 Euro. Der Grund: Das Unternehmen dokumentierte unzulässigerweise sensible Informationen über seine Beschäftigten. Der Bußgeldbescheid ist noch nicht rechtskräftig.
Konkret führte eine Vorgesetzte von März bis Juli 2021 auf Weisung der Geschäftsführung eine tabellarische Übersicht aller Beschäftigten in der Probezeit. In dieser Liste wurden elf Personen als „kritisch“ oder „sehr kritisch“ für eine Weiterbeschäftigung eingestuft. Die Begründungen waren vielfältig und bezogen sich unter anderem auf:
- Persönliche Äußerungen
- Gesundheitliche Gründe
- Außerbetriebliche Umstände
- Ein mögliches Interesse an der Gründung eines Betriebsrats
- Die regelmäßige Teilnahme an einer Psychotherapie
Besonders brisant war die Erfassung von Gesundheitsdaten und die Einschätzung bezüglich einer Betriebsratsgründung.
Ermittlungen und Ergebnis der Datenschutzbeauftragten
Die Berliner Datenschutzbeauftragte erfuhr von dem Vorfall durch Medienberichte und eine persönliche Beschwerde eines Betroffenen. Umgehend leitete sie eine umfassende Prüfung ein. Das Ergebnis war eindeutig: Die Verarbeitung der erhobenen Daten war in den beanstandeten Fällen nicht rechtmäßig.
Zusätzlich zu diesem Hauptverstoß wurden drei weitere Bußgelder gegen das Unternehmen verhängt. Diese beliefen sich auf insgesamt rund 40.000 Euro.
Meike Kamp, die Berliner Beauftragte für Datenschutz und Informationsfreiheit, betonte die Wichtigkeit eines korrekten Umgangs mit Mitarbeiterdaten: „Die Erhebung, Speicherung und Verwendung von Beschäftigtendaten müssen stets im zulässigen Zusammenhang mit dem Beschäftigungsverhältnis erfolgen. Das war in diesem Fall nicht gegeben. Insbesondere Gesundheitsdaten sind besonders sensitive Informationen, die nur in engen Grenzen verarbeitet werden dürfen.“
Rechtliche Grenzen der Datenverarbeitung durch Arbeitgeber
Grundsätzlich dürfen Arbeitgeberinnen und Arbeitgeber Überlegungen anstellen, inwiefern Beschäftigte weiterbeschäftigt werden sollen. Dabei dürfen sie auch personenbezogene Daten verarbeiten. Die Verhängung von Bußgeldern für DSGVO-Verstöße zeigt die Konsequenzen unzureichenden Schutzes. Solche Daten müssen jedoch für den Zweck geeignet und erforderlich sein.
Sie dürfen nur Rückschlüsse auf Leistung oder Verhalten zulassen, die in direktem Zusammenhang mit dem Beschäftigungsverhältnis stehen. Ein verantwortungsvoller Umgang ist hier essenziell.
Bemessung der Bußgelder und Kooperation des Unternehmens
Bei der Bemessung der Bußgelder berücksichtigte die BlnBDI verschiedene Faktoren. Dazu zählten der Umsatz des Unternehmens sowie die Anzahl der betroffenen Beschäftigten.
Positiv wurde hervorgehoben, dass das Unternehmen umfassend mit der BlnBDI kooperiert hat. Zudem hatte es den Verstoß nach öffentlichem Bekanntwerden bereits ohne Aufforderung von sich aus abgestellt. Dieser Umstand wurde bei der endgültigen Festsetzung berücksichtigt.
Fazit
Der betriebliche Datenschutz ist ein komplexes und sensibles Thema, das Unternehmen nicht unterschätzen sollten. Es ist dringend anzuraten, präventive Vorkehrungen zu treffen und transparente Vereinbarungen zu schaffen. Dies verhindert nicht nur Ärger mit den Datenschutzbehörden und hohe Bußgelder, sondern stärkt auch das Vertrauen der Mitarbeiter.
Ein verantwortungsvoller Umgang mit Mitarbeiterdaten ist nicht nur rechtlich geboten, sondern ein klares Zeichen von Wertschätzung und Respekt.