Die Berliner Datenschutzbehörde verhängt eine Geldbuße, insbesondere wegen unzulässiger Datenverarbeitung im Arbeitsumfeld (PM vom 02.08.2023). Sie wurde auf diesen Vorfall aufmerksam, nachdem sie von Medienberichten, unter anderem im „Spiegel“ und einer persönlichen Beschwerde eines Betroffenen darüber erfahren hatte.
Was genau ist passiert?
In diesem Fall hat ein Unternehmen, um mögliche Kündigungen zum Ende der Probezeit vorzubereiten, eine tabellarische Übersicht über alle Beschäftigten in der Probezeit erstellt. Soweit erst einmal in Ordnung.
Die verantwortliche Vorgesetzte, handelnd auf Weisung der Geschäftsführung, bewertete dabei die weitere Beschäftigung von elf Personen als „kritisch“ oder sogar „sehr kritisch“. Personalbewertungen erfolgen in jedem Unternehmen und sind nichts Besonderes, könnte man denken. Doch dann kam die Überraschung: ein Bußgeld in saftiger Höhe.
Warum das Bußgeld?
Bei genauerer Prüfung stellte sich heraus, dass die Vorgesetzte sensible Informationen, unter anderem über die Gesundheit einzelner Beschäftigter in der Tabelle erfasste.  Neben den besagten Daten enthielt die Tabelle noch eine weitere Spalte mit der Überschrift „Begründung“. Dort wurde z. B. die Teilnahme an einer Psychotherapie oder das Interesse an der Gründung eines Betriebsrats dokumentiert.
Zwar handelte es sich in einigen Fällen um Informationen, welche die Beschäftigten selbst, unter anderem für die Dienstplanung, mündlich mitgeteilt hatten. Die Weiterverarbeitung dieser sensiblen Informationen war den Betroffenen jedoch nicht bekannt. Die Berliner Datenschutzbeauftragte kam zu dem Schluss, dass die Verarbeitung der erhobenen Daten in diesen Fällen nicht rechtmäßig war.
Meike Kamp, die Berliner Datenschutzbeauftragte, äußerte sich wie folgt:
„Die Erhebung, Speicherung und Verwendung von Beschäftigtendaten müssen stets im zulässigen Zusammenhang mit dem Beschäftigungsverhältnis erfolgen. Das war in diesem Fall nicht gegeben. Insbesondere Gesundheitsdaten sind besonders sensitive Informationen, die nur in engen Grenzen verarbeitet werden dürfen.“
Hinweis: Der Bescheid ist derzeit noch nicht rechtskräftig.
Rechtliche Einordnung
Arbeitgeber:innen dürfen selbstverständlich darüber nachdenken, ob sie Beschäftigte über die Probezeit hinaus weiter beschäftigen wollen. Dabei dürfen sie auch personenbezogene Daten verwenden.
Grundlage der Datenverarbeitung im Arbeitsverhältnis ist regelmäßig der Erlaubnistatbestand des § 26 BDSG. Nachdem hier insbesondere relevanten § 26 Abs. 1 BDSG dürfen Daten verarbeitet werden, wenn dies für die für Zwecke des Beschäftigungsverhältnisses erforderlich ist. Zudem müssen die Daten für den konkreten Zweck geeignet und notwendig sein und dürfen ausschließlich für die erhobenen Zwecke verarbeitet werden (Grundsatz der Zweckbindung nach Art. 5 Abs. 1 lit. b DSGVO). Art. 9 DSGVO benennt zudem besonderen Kategorien personenbezogener Daten, die nur in Ausnahmefällen verarbeitet werden dürfen, so z. B. die Gewerkschaftszugehörigkeit, den Gesundheitszustand und Informationen über das Sexualleben oder zu politischen Einstellungen.
Informationen über die Leistung oder das Verhalten, die direkt mit dem Arbeitsverhältnis zusammenhängen, dürfen demnach in der Regel verarbeitet werden. Vorliegend verarbeitete die Arbeitgeberin u. a. besonders geschützte personenbezogene Daten nach Art. 9 DSGVO (Gesundheitsdaten) und hielt sich zudem nicht an den Grundsatz der Zweckbindung. Informationen, die Beschäftigte aus anderen Anlässen selbst mitteilten, dürfen Arbeitgeber:innen nicht einfach verwenden, schon gar nicht zu anderen Zwecken.
Weitere bußgeldbewährte Versäumnisse
Zusätzlich verhängte die Berliner Datenschutzbeauftragte drei weitere Bußgelder in Höhe von etwa 40.000 € aus folgenden Gründen: Erstens wurde die betriebliche Datenschutzbeauftragte nicht in die Erstellung der besagten Liste einbezogen. Zweitens erfolgte die Meldung des Datenschutzvorfalls verspätet. Drittens wurde die erwähnte Liste nicht – wie in Art. 30 DSGVO gefordert – im Verarbeitungsverzeichnis aufgeführt.
Zur Höhe des Bußgeldes
Die Höhe der Geldbuße für Datenschutzverstößen ergibt sich aus Art. 83 DSGVO. Dieser sieht Geldbußen von bis 20 Millionen Euro oder von bis zu vier Prozent des gesamten weltweiten erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr vor. Zudem hat die Datenschutzkonferenz (DSK) ein ausführliches Konzeptpapier zur Bußgeldzumessung in Verfahren gegen Unternehmen veröffentlicht (hier nachzulesen).
Im vorliegenden Fall setzte die Datenschutzbehörde die Höhe des Bußgeldes unter Berücksichtigung des Umsatzes des Unternehmens und der Anzahl der betroffenen Mitarbeiter fest. Als besonders schwerwiegend erachtete es, dass das Unternehmen besonders sensible Gesundheitsdaten ohne rechtliche Grundlage verarbeitet hatte. Zugunsten des Unternehmens wurde berücksichtigt, dass das Unternehmen gut mit der Datenschutzbehörde zusammengearbeitet hat und den Verstoß, nachdem er öffentlich bekannt wurde, von sich aus behoben hat.
Bedeutung für die Praxis
Grundsätzlich dürfen Arbeitgeber:innen Überlegungen anstellen, inwiefern Beschäftigte weiterbeschäftigt werden sollen und insofern auch personenbezogene Daten verarbeiten. Doch die verarbeiteten Daten müssen für diesen Zweck geeignet und erforderlich sein. Sie dürfen nur Rückschlüsse auf Leistung oder Verhalten zulassen, die in unmittelbarem Zusammenhang mit dem Beschäftigungsverhältnis stehen. Sollen von den Beschäftigten selbst mitgeteilte Informationen verarbeitet werden, ist Vorsicht geboten.
Fazit
Dieser Fall verdeutlicht, dass der Datenschutz am Arbeitsplatz ein sensibles Thema ist. Unternehmen müssen sich bewusst sein, welche Daten sie sammeln und wie sie diese verwenden. Eine enge Zusammenarbeit mit Datenschutzbehörden ist unerlässlich, um hohe Bußgelder und Reputationsverluste zu vermeiden. Datenschutz betrifft nicht nur große Konzerne, sondern jedes Unternehmen, das mit personenbezogenen Daten arbeitet. Eine sorgfältige Prüfung der Datenverarbeitungsprozesse ist unerlässlich.
RA FAArbR Daniel Mantel
RPO Rechtsanwälte, Köln
