Bußgeld wegen Datenschutzverstoß.

 Berliner Datenschutzbehörde verhängt Bußgeld wegen „schwarzer Liste“ für Mitarbeiter-Kündigungen.

Bußgeld wegen Datenschutzverstoß.

Unternehmen sind verpflichtet, DSGVO-konform mit Arbeitnehmerdaten umzugehen, vor allem mit Gesundheitsdaten. Ist das nicht der Fall, kann das empfindliche Bußgelder nach sich ziehen, wie ein Fall aus Berlin zeigt.

Was war passiert?

In Berlin verhängte der zuständige Beauftragte für Datenschutz und Informationsfreiheit gegen ein Unternehmen Bußgelder wegen Verstößen gegen die DSGVO. Die Höhe der Bußgelder belief sich auf insgesamt mehr als 200.000 Euro.

Der Grund für die Bußgelder u.a.: Das Unternehmen sammelte und speicherte Informationen über die Gesundheit einiger Beschäftigten in der Probezeit und dokumentierte u. a., wenn sich Mitarbeitende für die Gründung eines Betriebsrates interessierten oder regelmäßig Physiotherapie in Anspruch nahmen. Die Geschäftsführung hatte dazu angewiesen, diese Daten zu sammeln. Die Daten sollten dann Grundlage der Entscheidung für Kündigungen vor Ablauf der Probezeit sein. So wurde für Beschäftigte in der Probezeit eine Art „schwarze Liste“ für Kündigungskandidaten erstellt, die in der Liste in der Rubrik „Weiterbeschäftigung“ als „kritisch“ oder „sehr kritisch“ eingestuft wurden.

Die Informationen hatten Beschäftigte u. a. im Rahmen der Schichtplanung selbst mitgeteilt. Darüber, dass diese Daten systematisch zur Beurteilung der eigenen Person herangezogen würden, waren sie aber natürlich nicht informiert.

Zulässige Überlegung – rechtswidrige Datenverarbeitung

Klar ist: Unternehmen dürfen und müssen sich systematisch Gedanken darüber machen, welche Arbeitsverhältnisse nach dem Ende der Probezeit fortgeführt werden. Dafür dürfen – im Rahmen der Vorgaben aus Art. 5 DSGVO und Art 6 DSGVO – auch personenbezogene Mitarbeiterdaten erhoben und verarbeitet werden.

Vorsicht ist allerdings bei bestimmten personenbezogenen Daten geboten. Art 9 DSGVO definiert, dass u.a. Daten zu Gewerkschaftszugehörigkeit, Sexualleben, ethnischer Herkunft und Gesundheitszustand nur in Ausnahmefällen erhoben und verarbeitet werden dürfen.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit dazu:

„Die Erhebung, Speicherung und Verwendung von Beschäftigtendaten müssen stets im zulässigen Zusammenhang mit dem Beschäftigungsverhältnis erfolgen. Das war in diesem Fall nicht gegeben. Insbesondere Gesundheitsdaten sind besonders sensitive Informationen, die nur in engen Grenzen verarbeitet werden dürfen.“

Die systematische Sammlung und Auswertung von sensiblen Gesundheitsdaten als Entscheidungsgrundlage für arbeitsrechtliche Maßnahmen sind damit grundsätzlich nicht rechtens. Dass Mitarbeitende dem Arbeitgeber diese Informationen selbst während der Arbeit mitgeteilt haben, ändert daran nichts.

Allerdings ist die Speicherung von Arbeitnehmer-Gesundheitsdaten nicht immer untersagt.

Denn beispielsweise ist es notwendig, Gesundheitsdaten zu erheben und zu speichern, um beurteilen zu können, ob man als Arbeitgeber verpflichtet ist,

  • ein betriebliches Eingliederungsmanagement durchzuführen,
  • Entgeltfortzahlung zu leisten

oder ob eine krankheitsbedingte Kündigung ausgesprochen werden kann.

Auch muss ein Arbeitgeber weiterhin in der Lage sein, die Entscheidung über das Ende eines Arbeitsverhältnisses in der Probezeit u. a. von Krankheitszeiten abhängig zu machen.

Im vorliegenden Fall ging die Datenspeicherung jedoch darüber hinaus.

Wie bemisst die Datenschutzbehörde das Bußgeld?

Die DSGVO definiert selbst den Rahmen für Bußgelder bei Datenschutzverstößen: Nach Art. 83 DSGVO sind Geldbußen von bis zu 20 Millionen Euro oder von bis zu vier Prozent des gesamten weltweiten erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr möglich.

Im Fall aus Berlin wurde zunächst der Umsatz – nach Vorgabe gem. Art 83 DSGVO – berücksichtigt. Außerdem berücksichtigte die Behörde die Anzahl der betroffenen Beschäftigten und die Tatsache, dass die Verarbeitung von Gesundheitsdaten ohne eine Einwilligung bzw. gesetzliche Grundlage ein verhältnismäßig schwerer Verstoß ist.

Aber auch entlastende Umstände wurden berücksichtigt: Das Unternehmen stoppte einerseits die unzulässige Erhebung und Verarbeitung von Mitarbeiterdaten von sich aus, nachdem die Öffentlichkeit durch die Presse davon „Wind bekam“. Andererseits zeigte man sich einsichtig und arbeitete im Bußgeldverfahren ohne Weiteres mit der Datenschutzbehörde zusammen.

Zusammenarbeit mit den Behörden und eine Art tätige Reue können also durchaus dazu führen, dass Bußgelder wegen Datenschutzverstößen niedriger ausfallen.

Das Wichtigste kurz zusammengefasst:

  • Geschäftsführung und Vorgesetzte sollten für den Rechtsrahmen im Umgang mit sensiblen Arbeitnehmerdaten geschult werden;
  • u.a. Gesundheitsdaten dürfen nur erhoben und verarbeitet werden, wenn ein direkter Bezug zum Arbeitsverhältnis besteht;
  • bei einem Verstoß gegen das Datenschutzrecht können „tätige Reue“ und die Kooperation mit Behörden Bußgelder reduzieren.