Aktuelles DSGVO-Bußgeld der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) gegen ein Unternehmen wegen unzulässiger Verarbeitung von Beschäftigtendaten.1
Die BlnBDI verhängte Bußgelder i.H.v. insgesamt 215.000 Euro wegen mehrerer datenschutzrechtlicher Verstöße im Zusammenhang mit der Speicherung von Daten (u. a. sensible Gesundheitsdaten) von Beschäftigten in der Probezeit.
Eine Mitarbeiterin hatte auf Anweisung der Geschäftsführung eine tabellarische Übersicht erstellt, in der sie sensible Daten wie Gesundheitszustand, Interesse an der Gründung eines Betriebsrats und persönliche Bemerkungen von elf Beschäftigten in der Probezeit vermerkt hatte. Die so gewonnenen Informationen wurden aus Sicht des Unternehmens als „kritisch“ oder „sehr kritisch“ für eine mögliche Weiterbeschäftigung bewertet und in einer Tabellenspalte „Begründung“ näher erläutert. Die Beschäftigten wurden über diese Verarbeitung ihrer personenbezogenen Daten nicht informiert.
Begründung
Aus Sicht der BlnBDI gab es für diese Verarbeitungen keine wirksame Rechtsgrundlage. Für die Praxis relevant ist auch, dass die Aufsichtsbehörde drei weitere Bußgelder in Höhe von insgesamt ca. 40.000 Euro wegen Verstößen verhängt hat, die die prozessuale Umsetzungsebene der DSGVO im Unternehmen und Dokumentationspflichten betreffen, nämlich
- fehlende Einbeziehung des Datenschutzbeauftragten bei der Datenverarbeitung,
- verspätete Meldung einer Datenpanne an die BlnBDI und
- fehlende Erwähnung der o.g. Aufstellung und der Dokumentation der Datenverarbeitung im Verzeichnis der Verarbeitungstätigkeiten.
Das Bußgeld setzt sich somit zum einen aus der Verarbeitung und Auswertung von Beschäftigtendaten, auch Gesundheitsdaten, ohne Rechtsgrundlage und zum anderen aus Dokumentations- und Verfahrensverstößen zusammen.
Fazit
Dieser Fall zeigt wieder einmal mehr, dass die deutschen Datenschutzaufsichtsbehörden gerade bei der Verarbeitung von Beschäftigtendaten und deren Nutzung zur Bewertung von Beschäftigten sehr strenge Maßstäbe anlegen.
Es ist daher empfehlenswert, den Abteilungen und Fachbereichen in Unternehmen klare Vorgaben für den Umgang mit Beschäftigtendaten und insbesondere für die Erstellung von Listen oder Datenbanken mit Informationen über Beschäftigte zu machen. Diese Vorgaben sollten dokumentiert und ihre Einhaltung regelmäßig, durch den Datenschutzbeauftragten, überprüft und nachgewiesen werden.
Wir unterstützen und beraten Sie bei Ihren datenschutzrechtlichen Anforderungen.
Rufen Sie an +49 173 8198864 oder schreiben uns consulting@adorgasolutions.de.
Wir besprechen mit Ihnen dann die individuelle und pragmatische Lösung für Ihre Organisation.
1 Quelle: Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit https://www.datenschutz-berlin.de/pressemitteilung/informationen-ueber-beschaeftigte-in-der-probezeit/ (zuletzt aufgerufen am 02.08.2023)