Ak­tu­el­les DSGVO-Bußgeld der Ber­li­ner Be­auf­trag­ten für Daten­schutz und In­for­ma­ti­ons­frei­heit (BlnBDI) gegen ein Un­ter­neh­men wegen un­zu­läs­si­ger Ver­ar­bei­tung von Be­schäf­tig­ten­da­ten.1

Die BlnBDI ver­häng­te Buß­gel­der i.H.v. ins­ge­samt 215.000 Euro wegen meh­re­rer da­ten­schutz­recht­li­cher Ver­stö­ße im Zu­sam­men­hang mit der Spei­che­rung von Daten (u. a. sen­si­ble Ge­sund­heits­da­ten) von Be­schäf­tig­ten in der Pro­be­zeit.

Eine Mit­ar­bei­te­rin hatte auf An­wei­sung der Ge­schäfts­füh­rung eine ta­bel­la­ri­sche Über­sicht er­stellt, in der sie sen­si­ble Daten wie Ge­sund­heits­zu­stand, In­ter­es­se an der Grün­dung eines Be­triebs­rats und per­sön­li­che Be­mer­kun­gen von elf Be­schäf­tig­ten in der Pro­be­zeit ver­merkt hatte. Die so ge­won­ne­nen In­for­ma­tio­nen wurden aus Sicht des Un­ter­neh­mens als „kri­tisch“ oder „sehr kri­tisch“ für eine mög­li­che Wei­ter­be­schäf­ti­gung be­wer­tet und in einer Ta­bel­len­spal­te „Be­grün­dung“ näher er­läu­tert. Die Be­schäf­tig­ten wurden über diese Ver­ar­bei­tung ihrer per­so­nen­be­zo­ge­nen Daten nicht informiert.

Be­grün­dung

Aus Sicht der BlnBDI gab es für diese Ver­ar­bei­tun­gen keine wirk­sa­me Rechts­grund­la­ge. Für die Praxis re­le­vant ist auch, dass die Auf­sichts­be­hör­de drei weitere Buß­gel­der in Höhe von ins­ge­samt ca. 40.000 Euro wegen Ver­stö­ßen ver­hängt hat, die die pro­zes­sua­le Um­set­zungs­ebe­ne der DSGVO im Un­ter­neh­men und Do­ku­men­ta­ti­ons­pflich­ten be­tref­fen, nämlich

  • feh­len­de Ein­be­zie­hung des Da­ten­schutz­be­auf­trag­ten bei der Datenverarbeitung,
  • ver­spä­te­te Meldung einer Da­ten­pan­ne an die BlnBDI und
  • feh­len­de Er­wäh­nung der o.g. Auf­stel­lung und der Do­ku­men­ta­ti­on der Da­ten­ver­ar­bei­tung im Ver­zeich­nis der Verarbeitungstätigkeiten.

Das Bußgeld setzt sich somit zum einen aus der Ver­ar­bei­tung und Aus­wer­tung von Be­schäf­tig­ten­da­ten, auch Ge­sund­heits­da­ten, ohne Rechts­grund­la­ge und zum anderen aus Do­­ku­­men­­ta­­ti­ons- und Ver­fah­rens­ver­stö­ßen zusammen.

Fazit

Dieser Fall zeigt wieder einmal mehr, dass die deut­schen Da­ten­schutz­auf­sichts­be­hör­den gerade bei der Ver­ar­bei­tung von Be­schäf­tig­ten­da­ten und deren Nutzung zur Be­wer­tung von Be­schäf­tig­ten sehr strenge Maß­stä­be anlegen.

Es ist daher emp­feh­lens­wert, den Ab­tei­lun­gen und Fach­be­rei­chen in Un­ter­neh­men klare Vor­ga­ben für den Umgang mit Be­schäf­tig­ten­da­ten und ins­be­son­de­re für die Er­stel­lung von Listen oder Da­ten­ban­ken mit In­for­ma­tio­nen über Be­schäf­tig­te zu machen. Diese Vor­ga­ben sollten do­ku­men­tiert und ihre Ein­hal­tung re­gel­mä­ßig, durch den Da­ten­schutz­be­auf­trag­ten, über­prüft und nach­ge­wie­sen werden.

 

Wir un­ter­stüt­zen und beraten Sie bei Ihren da­ten­schutz­recht­li­chen Anforderungen.
Rufen Sie an +49 173 8198864 oder schrei­ben uns consulting@adorgasolutions.de.

Wir be­spre­chen mit Ihnen dann die in­di­vi­du­el­le und prag­ma­ti­sche Lösung für Ihre Organisation.

Quelle: Pres­se­mit­tei­lung der Ber­li­ner Be­auf­trag­ten für Daten­schutz und In­for­ma­ti­ons­frei­heit https://www.datenschutz-berlin.de/pressemitteilung/informationen-ueber-beschaeftigte-in-der-probezeit/ (zuletzt auf­ge­ru­fen am 02.08.2023)

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!