Berliner Datenschutzbehörde verhängt Bußgelder gegen Humboldt Forum Service GmbH wegen DSGVO-Verstößen

News-Beitrag
© Foto von Peter Y-Chuang auf unsplash.com
© Foto von Peter Y-Chuang auf unsplash.com

Dieser Artikel beantwortet Ihnen folgende Fragen:

Wann sind Aufzeichnungen über Mitarbeitende datenschutzrechtlich zulässig?
Gelten strengere Anforderungen für gesundheitsbezogene Informationen?
Welche Faktoren können die Höhe eines Bußgelds beeinflussen?

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen die Humboldt Forum Service GmbH, einer Tochtergesellschaft des Berliner Humboldt Forums, Bußgelder in Höhe von insgesamt 215.000 EUR wegen mehrerer Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) verhängt.

Was war passiert?

Bereits im Mai 2021 wandten sich Mitarbeiter:innen der Humboldt Forum Service GmbH, einer Tochtergesellschaft des Berliner Humboldt Forums, an die Medien. Sie erhoben schwere Vorwürfe gegen ihren Arbeitgeber. Es wurde berichtet, dass auf Anweisung der Geschäftsleitung ein Vorgesetzter der Humboldt Forum Service von März bis Juli 2021 eine Liste aller Mitarbeiter:innen in der Probezeit erstellte. In dieser Liste wurden sensible Informationen erfasst, darunter gesundheitliche Belange, persönliche Äußerungen, Interesse an der Gründung eines Betriebsrats und die Teilnahme an Psychotherapie. Einige der aufgeführten Informationen hatten die Mitarbeitenden freiwillig für die Dienstplanung bereitgestellt. Sie wurden jedoch nicht darüber informiert, dass diese Informationen weiterverarbeitet werden.

Diese Liste wurde angeblich erstellt, um Kündigungen am Ende der Probezeit zu erleichtern.
Um den Sachverhalt zu prüfen, wurde im Mai 2021 unter anderem die Berliner Datenschutzbehörde eingeschaltet und eine Untersuchung eingeleitet. Die Leiterin der BlnBDI, Meike Kamp, hat nun die Ergebnisse des Prüfverfahrens veröffentlicht.

Das Ergebnis: 215.000 EUR Bußgeld

Die Ergebnisse wurden Anfang August veröffentlicht: Die Verarbeitung der erhobenen Daten war nicht rechtmäßig und stellte einen Verstoß gegen die DSGVO dar. Denn Beschäftigtendaten dürfen zwar grundsätzlich gespeichert und verarbeitet werden. Dies allerdings nur, wenn die Erhebung, Speicherung und Verwendung von Beschäftigtendaten im zulässigen Zusammenhang mit dem Beschäftigungsverhältnis erfolgt. Konkret bedeutet dies, dass die erhobenen Informationen nur Schlüsse auf die Arbeitsleistung und das Arbeitsverhalten zulassen dürfen.

Dies sei in diesem Fall nicht gegeben gewesen. Insbesondere Gesundheitsdaten seien besonders sensitive Informationen, die nur in engen Grenzen verarbeitet werden dürfen. Aufgrund dessen stufte die Berliner Datenschutzbeauftragte die Verarbeitung als einen besonders gravierenden Verstoß ein.

Die Verarbeitung sensibler Daten wurde mit einer Geldstrafe von 175.000 EUR geahndet. Zudem wurden noch drei weitere Geldstrafen in Höhe von insgesamt 40.000 EUR verhängt wegen unter anderem fehlender Beteiligung der betrieblichen Datenschutzbeauftragten bei der Erstellung der Liste, verspäteter Meldung eines Datenschutzvorfalls und fehlender Erwähnung der Liste im Verarbeitungsverzeichnis.

Bei der Bemessung der Geldstrafen hat die BlnBDI den Umsatz und die Anzahl der betroffenen Mitarbeiter:innen berücksichtigt. Entscheidend dabei war, dass die Verarbeitung von Gesundheitsdaten ohne Rechtsgrundlage einen besonders schwerwiegenden Verstoß darstellt. Bußgeldmindernd kam zum Tragen, dass das Unternehmen umfassend mit der BlnBDI kooperiert hat und den Verstoß nach öffentlichem Bekanntwerden bereits ohne Aufforderung von sich aus abgestellt hat.

Humboldt Forum wehrt sich nicht

Die Humboldt Forum Service legte keinen Einspruch gegen den Bußgeldbescheid ein, wie sie bereits in der Pressemitteilung Anfang August verlauten ließ.

In der diesbezüglichen Pressemitteilung heißt es:

Wir nehmen den Vorgang und die Entscheidung der Datenschutzbeauftragten sehr ernst. Als Muttergesellschaft der HFS setzen wir uns dafür ein, dass sich ein solcher Vorgang nicht wiederholt. Wir haben bei der HFS direkt 2021 mit umfassenden Compliance-Maßnahmen und Fortbildungen im Datenschutzbereich für alle Bereiche begonnen und führen diese Maßnahmen und Fortbildungen seitdem kontinuierlich fort.

Fazit

Selbst wenn Mitarbeiter:innen im Rahmen der Dienstplanung persönliche und sensible Daten preisgeben, schreibt die DSGVO vor, dass diese weder gespeichert noch weiterverarbeitet werden dürfen. Das bedeutet jedoch nicht, dass Vorgesetzte keine Notizen machen oder Gedanken zur Weiterbeschäftigung von Probezeit-Beschäftigten festhalten dürfen. Die personenbezogenen Daten müssen jedoch angemessen und notwendig sein, um Schlüsse auf die Arbeitsleistung zu ziehen.

Besonders im Fall von gesundheitsbezogenen Informationen sind Aufzeichnungen normalerweise unzulässig. Die DSGVO betrachtet Gesundheitsdaten als äußerst sensible Informationen und setzt hohe Standards für deren Verarbeitung. Daher ist es in der Regel nicht gestattet, solche Daten ohne eine klare und gesetzliche Grundlage zu erfassen oder weiterzuverarbeiten. Damit soll der Schutz der Privatsphäre und der informationellen Selbstbestimmung der Mitarbeitenden gewährleistet werden.

Total
0
Shares
Prev
Umgang mit Geschenken
Podcast Folge 38

Umgang mit Geschenken

compliance-gerechte Zuwendungen im Unternehmensalltag

Next
Grenzenlose Freiheit?
© Foto von Juliana Romao auf unsplash.com

Grenzenlose Freiheit?

Meinungsfreiheit im Arbeitsrecht unter der Lupe

You May Also Like