Nicht erst seit dem Inkrafttreten der Datenschutz-Grundverordnung kommt dem Thema Arbeitnehmerdatenschutz eine große Bedeutung zu. Ziel des Arbeitnehmerdatenschutzes ist es, das Persönlichkeitsrecht der Arbeitnehmer und Bewerber zu schützen. Aus diesem Grund muss die Erhebung, Speicherung und Verwendung von Arbeitnehmerdaten stets in einem zulässigen Zusammenhang mit dem Beschäftigungsverhältnis erfolgen. So muss die Erhebung personenbezogener Daten der Arbeitnehmer entsprechend dem Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) grundsätzlich auf ein Minimum reduziert werden. Zudem dürfen einmal erhobene Daten nicht zu jedem beliebigen Zweck weiterverarbeitet werden. Verstöße gegen den Datenschutz der Beschäftigten können mit empfindlichen Bußgeldern sanktioniert werden. Erst kürzlich erließ die Berliner Beauftragte für Datenschutz und Informationsfreiheit einen Bußgeldbescheid in Höhe von satten 215.000 Euro gegen ein Unternehmen aufgrund eines datenschutzwidrigen Umgangs mit den Daten seiner Beschäftigten.

 

Das Wichtigste in Kürze

  • Für die Entscheidung über die Weiterbeschäftigung oder Kündigung eines Beschäftigten dürfen dessen personenbezogene Daten nur verarbeitet werden, wenn sie einen Rückschluss auf die Leistung und das Verhalten des Arbeitnehmers ermöglichen.
  • Zudem müssen die Daten in einem unmittelbaren Zusammenhang mit dem Beschäftigungsverhältnis stehen.
  • Art. 9 DSGVO, der die Verarbeitung besonders schutzwürdiger Kategorien personenbezogener Daten regelt, ist zu beachten.

 

Liste mit persönlichen Informationen von Mitarbeitern in der Probezeit

Die Geschäftsleitung des betroffenen Unternehmens wies im Jahr 2021 eine Vorgesetzte an, eine tabellarische Übersicht sämtlicher in der Probezeit beschäftigten Mitarbeiter anzulegen und zu führen. Die in diesem Zusammenhang gesammelten Daten sollten zur Vorbereitung möglicher Kündigungen bis zum Ende der Probezeit dienen. Neben der Erfassung sämtlicher in Probezeit beschäftigter Mitarbeiter enthielt die Liste weitere Informationen sowie eine Bewertung im Hinblick auf eine mögliche Weiterbeschäftigung. Hierbei wurde die potenzielle Weiterbeschäftigung von 11 Personen als kritisch bzw. sehr kritisch eingestuft und die Einstufung mit einer Begründung versehen. Diese beinhalteten persönliche Äußerungen der Mitarbeiter sowie gesundheitliche und außerbetriebliche Gründe, die einer flexiblen Schichteinteilung entgegenstünden. Daneben wurde ein potenzielles Interesse an der Gründung eines Betriebsrats sowie die Inanspruchnahme psychotherapeutischer Behandlung dokumentiert. Die gesammelten Informationen wurden in den meisten Fällen von den Beschäftigten zum Zwecke der Dienstplanung selbst mitgeteilt. Über eine darüber hinausgehende Verarbeitung wurden die Beschäftigten nicht informiert. Die Berliner Datenschutzbehörde leitete umgehend eine Untersuchung ein, nachdem sie durch Medienberichte und die Beschwerde eines Betroffenen von dem Vorgehen Kenntnis erlangt hatte. Auf eine Berichterstattung des Spiegels hin meldete sich auch das Unternehmen bei der Datenschutzbeauftragten, um zu den Vorwürfen Stellung zu nehmen.

 

Bußgeldbescheid der Berliner Datenschutzbehörde

Nach einer umfassenden Prüfung kam die Behörde zu dem Ergebnis, dass das Vorgehen rechtswidrig war und erließ einen Bußgeldbescheid in Höhe von 215.000 Euro. Im Rahmen ihrer Untersuchungen stellte die Behörde fest, dass die Erhebung, Speicherung und Verarbeitung der personenbezogenen Daten zum Zwecke der Vorbereitung von Kündigungen zum Ende der Probezeit im konkreten Fall datenschutzwidrig war. Insbesondere habe das Unternehmen durch die Führung der Liste mit den genannten Informationen gegen Art. 9 DSGVO verstoßen, da es besonders sensible personenbezogene Daten seiner Beschäftigten verarbeitet hat, ohne dass hierfür eine Rechtsgrundlage bestand.

 

Verarbeitung von Beschäftigtendaten zur Vorbereitung von personellen Maßnahmen

Grundsätzlich dürfen Arbeitgeber personenbezogene Daten im Zusammenhang mit der Entscheidung über die Weiterbeschäftigung von Arbeitnehmern in einem zulässigen Rahmen verarbeiten. Allerdings muss die Datenverarbeitung für diesen Zweck geeignet und erforderlich sein. Zudem ist Art. 9 DSGVO zu beachten, der die Verarbeitung besonders schutzwürdiger Kategorien personenbezogener Daten regelt, die nur in Ausnahmefällen verarbeitet werden dürfen. Hierunter fallen unter anderem auch die im konkreten Fall relevante Gewerkschaftszugehörigkeit sowie Informationen zum Gesundheitszustand einer Person. Auch bei einer Verarbeitung personenbezogener Informationen, die vom Beschäftigten selbst mitgeteilt werden, ist zu prüfen, ob diese erforderlich und angemessen ist. Für den Fall der Entscheidung über die Weiterbeschäftigung oder Kündigung eines Beschäftigten gilt, dass seine Daten nur verarbeitet werden dürfen, wenn sie einen Rückschluss auf die Leistung und das Verhalten des Arbeitnehmers ermöglichen. Zudem müssen diese in einem unmittelbaren Zusammenhang mit dem Beschäftigungsverhältnis stehen.

 

Ahndung drei weiterer Verstöße

Neben der Sanktion des genannten Verstoßes erließ die Behörde drei weitere Bußgelder in Höhe von insgesamt rund 40.000 Euro aufgrund von weiteren Verstößen. Zum einen versäumte das Unternehmen es den betrieblichen Datenschutzbeauftragten an der Erstellung der Liste zu beteiligen. Zum anderen soll das Unternehmen eine Datenpanne verspätet gemeldet haben. Zudem hat die Behörde moniert, dass die Liste nicht im Verarbeitungsverzeichnis erfasst wurde.

 

 

Fazit

Der Fall zeigt eindrücklich wie wichtig es ist den Datenschutz stets ernst zu nehmen und vollumfänglich zu berücksichtigen. Dies gilt umso mehr, wenn im Zusammenhang mit Personalmaßnahmen besonders sensible Beschäftigtendaten verarbeitet werden sollen. Auch wenn die DSGVO keine ausdrückliche Pflicht zur Datenschutz-Schulung von Mitarbeitern vorsehen mag, ergibt sich dennoch die Notwendigkeit zur Sensibilisierung und Schulung der Mitarbeiter. Schulungen der Mitarbeiter in Sachen Datenschutz tragen dazu bei, Datenschutzverstöße zu vermeiden, die zu behördlichen Aufsichtsmaßnahmen und empfindlichen Sanktionen führen können. Gemäß Art. 83 DSGVO können die Aufsichtsbehörden bis zu 20 Millionen Euro oder von bis zu vier Prozent des gesamten weltweit erzielten Vorjahresumsatzes (je nachdem welcher der höhere Betrag ist) verhängen. Bei der Bemessung der Bußgeldhöhe im vorliegenden Fall hat die Berliner Beauftragte unter anderem den Umsatz des Unternehmens sowie die Zahl der betroffenen Beschäftigten berücksichtigt. Zudem fiel die Tatsache, dass es sich um eine rechtswidrige Verarbeitung besonders sensibler Daten handelte, besonders ins Gewicht. Bußgeldmindernd wurde berücksichtigt, dass das Unternehmen sich kooperativ gezeigt hat und den Verstoß nach Bekanntwerden in den Medien unaufgefordert abgestellt hat.

 

„>

Kontakt aufnehmen