Kürzlich verhängte der Berliner Beauftragte für Datenschutz und Informationssicherheit (BlnBDI) gegen die Humboldt Forum Service GmbH Bußgelder in Höhe von insgesamt 215.000 € aufgrund mehrerer Datenschutzverstöße.
Dabei hat das Unternehmen eine tabellarische Übersicht aller Mitarbeitenden in der Probezeit geführt, in der die weitere Beschäftigung einiger Arbeitnehmer als „(sehr) kritisch“ beurteilt wurde. Diese Bewertung wurde in einer separaten Spalte unter Bezugnahme auf Angaben zu persönlichen Äußerungen, außerbetriebliche und gesundheitliche Gründe oder auch das mögliche Interesse an der Gründung eines Betriebsrates begründet. Die gesammelten Informationen waren überwiegend auf mündliche Aussagen zurückzuführen – die Betroffenen wurden allerdings zu keinem Zeitpunkt über die Verarbeitung der gesammelten Daten informiert und hatten dementsprechend keine Einwilligung gegeben.
Nach Kenntnis der Vorwürfe wurden diese durch den BlnBDI geprüft. Dieser kam zu dem Schluss, dass die Verarbeitung der erhobenen Daten nicht rechtmäßig war. Zwar dürfen Arbeitgeber grds. personenbezogene Daten (pbD) verarbeiten, um die Weiterbeschäftigung eines Arbeitnehmers zu prüfen – dabei muss diese allerdings für diesen Zweck geeignet und erforderlich sein. Im vorliegenden Fall war dies aber nicht der Fall, da die Verarbeitung der pbD nicht im zulässigen Zusammenhang mit dem Beschäftigungsverhältnis erfolgte, denn insbesondere Gesundheitsdaten sowie die Gewerkschaftszugehörigkeit gehören zu den besonders sensiblen Informationen, bzw. besonderen Kategorien pbD, die nur in engen Grenzen verarbeitet werden dürfen. Außerdem wurde die Liste nicht im Verarbeitungsverzeichnis angegeben. Hinzu kamen weitere Bußgelder wegen der fehlenden Beteiligung der betrieblichen Datenschutzbeauftragten bei der Erstellung der Liste sowie der verspäteten Meldung einer Datenpanne.
Die Höhe der Bußgelder ergibt sich aus Art. 83 DSGVO – danach sind Geldbußen von bis zu 20 Millionen Euro oder von bis zu vier Prozent des gesamten weltweiten erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr vor – je nachdem, welcher Beitrag höher ist.
Um hohe Bußgelder zu vermeiden, empfiehlt es sich im Hinblick auf die Verarbeitung pbD und insbesondere sensibler Daten präventive Maßnahmen zu ergreifen und sich im Zweifelsfall immer durch den Datenschutzbeauftragten beraten zu lassen – gerne stehen wir Ihnen hierbei zur Verfügung.
eDSB RA Hubert Beeck & RAin Jennifer Schild