Bußgeld wegen Datenschutzverstoß.

 Berliner Datenschutzbehörde verhängt Bußgeld wegen „schwarzer Liste“ für Mitarbeiter-Kündigungen.

Tobias Grambow, Rechtsanwalt der Kanzlei Buse Heberer Fromm
Tobias Grambow
Rechtsanwalt, Fachanwalt für Arbeitsrecht

Bußgeld wegen Datenschutzverstoß.

Blog: Arbeitsrecht - Beitrag vom 22.11.2023
Unternehmen sind verpflichtet, DSGVO-konform mit Arbeitnehmerdaten umzugehen, vor allem mit Gesundheitsdaten. Ist das nicht der Fall, kann das empfindliche Bußgelder nach sich ziehen, wie ein Fall aus Berlin zeigt.

Was war passiert?

In Berlin verhängte der zuständige Beauftragte für Datenschutz und Informationsfreiheit gegen ein Unternehmen Bußgelder wegen Verstößen gegen die DSGVO. Die Höhe der Bußgelder belief sich auf insgesamt mehr als 200.000 Euro.

Der Grund für die Bußgelder u.a.: Das Unternehmen sammelte und speicherte Informationen über die Gesundheit einiger Beschäftigten in der Probezeit und dokumentierte u. a., wenn sich Mitarbeitende für die Gründung eines Betriebsrates interessierten oder regelmäßig Physiotherapie in Anspruch nahmen. Die Geschäftsführung hatte dazu angewiesen, diese Daten zu sammeln. Die Daten sollten dann Grundlage der Entscheidung für Kündigungen vor Ablauf der Probezeit sein. So wurde für Beschäftigte in der Probezeit eine Art „schwarze Liste“ für Kündigungskandidaten erstellt, die in der Liste in der Rubrik „Weiterbeschäftigung“ als „kritisch“ oder „sehr kritisch“ eingestuft wurden.

Die Informationen hatten Beschäftigte u. a. im Rahmen der Schichtplanung selbst mitgeteilt. Darüber, dass diese Daten systematisch zur Beurteilung der eigenen Person herangezogen würden, waren sie aber natürlich nicht informiert.

Zulässige Überlegung – rechtswidrige Datenverarbeitung

Klar ist: Unternehmen dürfen und müssen sich systematisch Gedanken darüber machen, welche Arbeitsverhältnisse nach dem Ende der Probezeit fortgeführt werden. Dafür dürfen – im Rahmen der Vorgaben aus Art. 5 DSGVO und Art 6 DSGVO – auch personenbezogene Mitarbeiterdaten erhoben und verarbeitet werden.

Vorsicht ist allerdings bei bestimmten personenbezogenen Daten geboten. Art 9 DSGVO definiert, dass u.a. Daten zu Gewerkschaftszugehörigkeit, Sexualleben, ethnischer Herkunft und Gesundheitszustand nur in Ausnahmefällen erhoben und verarbeitet werden dürfen.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit dazu:

„Die Erhebung, Speicherung und Verwendung von Beschäftigtendaten müssen stets im zulässigen Zusammenhang mit dem Beschäftigungsverhältnis erfolgen. Das war in diesem Fall nicht gegeben. Insbesondere Gesundheitsdaten sind besonders sensitive Informationen, die nur in engen Grenzen verarbeitet werden dürfen.“

Die systematische Sammlung und Auswertung von sensiblen Gesundheitsdaten als Entscheidungsgrundlage für arbeitsrechtliche Maßnahmen sind damit grundsätzlich nicht rechtens. Dass Mitarbeitende dem Arbeitgeber diese Informationen selbst während der Arbeit mitgeteilt haben, ändert daran nichts.

Allerdings ist die Speicherung von Arbeitnehmer-Gesundheitsdaten nicht immer untersagt.

Denn beispielsweise ist es notwendig, Gesundheitsdaten zu erheben und zu speichern, um beurteilen zu können, ob man als Arbeitgeber verpflichtet ist,

  • ein betriebliches Eingliederungsmanagement durchzuführen,
  • Entgeltfortzahlung zu leisten

oder ob eine krankheitsbedingte Kündigung ausgesprochen werden kann.

Auch muss ein Arbeitgeber weiterhin in der Lage sein, die Entscheidung über das Ende eines Arbeitsverhältnisses in der Probezeit u. a. von Krankheitszeiten abhängig zu machen.

Im vorliegenden Fall ging die Datenspeicherung jedoch darüber hinaus.

Wie bemisst die Datenschutzbehörde das Bußgeld?

Die DSGVO definiert selbst den Rahmen für Bußgelder bei Datenschutzverstößen: Nach Art. 83 DSGVO sind Geldbußen von bis zu 20 Millionen Euro oder von bis zu vier Prozent des gesamten weltweiten erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr möglich.

Im Fall aus Berlin wurde zunächst der Umsatz – nach Vorgabe gem. Art 83 DSGVO – berücksichtigt. Außerdem berücksichtigte die Behörde die Anzahl der betroffenen Beschäftigten und die Tatsache, dass die Verarbeitung von Gesundheitsdaten ohne eine Einwilligung bzw. gesetzliche Grundlage ein verhältnismäßig schwerer Verstoß ist.

Aber auch entlastende Umstände wurden berücksichtigt: Das Unternehmen stoppte einerseits die unzulässige Erhebung und Verarbeitung von Mitarbeiterdaten von sich aus, nachdem die Öffentlichkeit durch die Presse davon „Wind bekam“. Andererseits zeigte man sich einsichtig und arbeitete im Bußgeldverfahren ohne Weiteres mit der Datenschutzbehörde zusammen.

Zusammenarbeit mit den Behörden und eine Art tätige Reue können also durchaus dazu führen, dass Bußgelder wegen Datenschutzverstößen niedriger ausfallen.

Das Wichtigste kurz zusammengefasst:

  • Geschäftsführung und Vorgesetzte sollten für den Rechtsrahmen im Umgang mit sensiblen Arbeitnehmerdaten geschult werden;
  • u.a. Gesundheitsdaten dürfen nur erhoben und verarbeitet werden, wenn ein direkter Bezug zum Arbeitsverhältnis besteht;
  • bei einem Verstoß gegen das Datenschutzrecht können „tätige Reue“ und die Kooperation mit Behörden Bußgelder reduzieren.

Newsletter

Bleiben Sie auf dem Laufenden!
Sie möchten informiert werden, wenn ein neuer Blogbeitrag erschienen ist und erfahren, über welches Thema wir als nächstes berichten? Dann melden Sie sich hier zu unseren Newsletter an:

Zeiterfassung per Fingerabdruck? Nur mit ausdrücklicher Einwilligung des Mitarbeiters.

Blog: Arbeitsrecht
Zeiterfassung per Fingerabdruck? Nur mit ausdrücklicher Einwilligung des Mitarbeiters.
02.06.2020

Wo Du willst-Jobs: Wieviel Freiraum lässt das Arbeitsrecht?

Blog: Arbeitsrecht
Wo Du willst-Jobs: Wieviel Freiraum lässt das Arbeitsrecht? Unternehmen gewähren Mitarbeiter*innen mehr Flexibilität – Fünf Dos and Don´ts für HR.
21.06.2022
Tanja Radoux

With Great Power Comes Great Responsibility. Einige Überlegungen zur Haftung von Betriebsräten für Verstöße gegen die DSGVO.

Blog: Arbeitsrecht
With Great Power Comes Great Responsibility. Einige Überlegungen zur Haftung von Betriebsräten für Verstöße gegen die DSGVO.
30.11.2021
Jan Tibor Lelley, Tobias Vößing

Wie umgehen mit politischem Extremismus am Arbeitsplatz?

Blog: Arbeitsrecht
Wie umgehen mit politischem Extremismus am Arbeitsplatz? Welche Möglichkeiten das Arbeitsrecht im Umgang mit politischen Extremisten am Arbeitsplatz bietet.
09.01.2024
Tobias Grambow

Wenn der Geschäftsführer nichts kann.

Blog: Arbeitsrecht
Wenn der Geschäftsführer nichts kann. Über persönliche Haftung von Geschäftsführern für eigenes Unvermögen und Überwachungsverschulden.
19.12.2023
Peter Fissenewert

Was lange währt, wird schließlich gut? Das Hinweisgeberschutzgesetz kommt endlich.

Blog: Arbeitsrecht
Was lange währt, wird schließlich gut? Das Hinweisgeberschutzgesetz kommt endlich. Keine Übergangsfrist – Bearbeitung anonymer Meldungen wird Pflicht.
17.01.2023
Jan Tibor Lelley
Let’s connect

Möchten Sie Informationen zu aktuellen Rechtsentwicklungen, Einladungen zu Veranstaltungen und Seminaren von uns erhalten? Dann bitten wir Sie um Ihre ausdrückliche Einwilligung.

…zur Einwilligungserklärung

BUSE

Über die Kanzlei
Partnerinnen und Partner
Kontakt
CSR
Impressum
Datenschutzerklärung

Gespräch vereinbaren

Ihr Anliegen können wir gerne direkt in einem persönlichen Gespräch erörtern. Wir versichern Ihnen absolute Diskretion und eine professionelle und ehrliche Beratung.

…zu unseren Standorten

© BUSE · Rechtsanwälte Steuerberater Partnerschaftsgesellschaft mbB