Die Berliner Beauftragte für Datenschutz und Informationssicherheit (BlnBDI) verhängte gegen ein Unternehmen Bußgelder in Höhe von 215.000€. Grund ist unter anderem eine unerlaubte Speicherung von Beschäftigtendaten. Dies ist einer Pressemitteilung der BlnBDI vom 02. August zu entnehmen. Bei dem Unternehmen handelt es sich um den Dienstleister Humboldt Forum Service GmbH (HFS). Dies bestätigte die Stiftung Humboldt Forum. Das Bußgeld ist noch nicht rechtskräftig.
Der Inhalt im Überblick
Was ist passiert?
Die HFS ist zuständig für Besucherservice und Wachaufgaben. Eine Vorgesetzte des Unternehmens wurde seitens der Geschäftsführung angewiesen, eine tabellarische Übersicht aller Beschäftigten in der Probezeit zu führen. So auch geschehen.
In der Übersicht listete die Vorgesetzte alle Mitarbeitenden in der Probezeit auf und bewertete die weitere Beschäftigung von elf Personen als „kritisch“ oder „sehr kritisch“. Eine Begründung dieser Einstufung erfolgte in einer weiteren Tabellenspalte mit der Überschrift „Begründung“. Unter den dort in dieser Spalte befindlichen Begründungen fanden sich Angaben zu persönlichen Äußerungen sowie außerbetrieblichen und gesundheitlichen Gründen. Auch ein mögliches Interesse an der Gründung eines Betriebsrates und die regelmäßige Teilnahme an einer Psychotherapie wurden gelistet.
Die Angaben wurden größtenteils aufgrund mündlicher Aussagen der Beschäftigten gesammelt. Dass die Daten in einer Liste weiterverarbeitet werden, war den Betroffenen natürlich nicht bekannt.
Wie wurde die BlnBDI auf den Fall aufmerksam?
Durch Medienberichte und eine persönliche Beschwerde eines Betroffenen wurden die BlnBDI auf diesen Vorfall aufmerksam. Als der Spiegel über die Situation berichtete, meldete sich das Unternehmen noch am gleichen Tag bei der Datenschutzbeauftragten. Die BlnBDI leitete unverzüglich eine Prüfung ein und die Vorwürfe wurden sodann in einem aufwendigen Verfahren geprüft.
Besonderer Schutz für sensible Daten
Bei ihrer Prüfung kam die BlnBDI zu dem Ergebnis, dass die Verarbeitung der erhobenen Daten in den beanstandeten Fällen nicht rechtmäßig war. Meike Kamp, die BlnBDI, äußerte sich wie folgt:
„Die Erhebung, Speicherung und Verwendung von Beschäftigtendaten müssen stets im zulässigen Zusammenhang mit dem Beschäftigungsverhältnis erfolgen. Das war in diesem Fall nicht gegeben. Insbesondere Gesundheitsdaten sind besonders sensitive Informationen, die nur in engen Grenzen verarbeitet werden dürfen.“
Grundsätzlich dürfen Arbeitgeber Überlegungen anstellen, inwiefern Beschäftigte weiterbeschäftigt werden sollen und insofern auch personenbezogene Daten verarbeiten. Die verarbeiteten Daten müssen jedoch für diesen Zweck geeignet und erforderlich sein. Sie dürfen nur Rückschlüsse auf Leistung oder Verhalten zulassen, die in unmittelbarem Zusammenhang mit dem Beschäftigungsverhältnis stehen. Arbeitgeber dürfen auch von Beschäftigten selbst mitgeteilte Informationen nicht einfach weiterverarbeiten, sondern müssen prüfen, ob die Verarbeitung erforderlich und angemessen ist.
Die DSGVO enthält in Art. 9 zudem eine Liste mit besonderen Kategorien personenbezogener Daten, die nur in Ausnahmefällen gesammelt und verarbeitet werden dürfen. Dazu zählen neben der Gewerkschaftszugehörigkeit und dem Gesundheitszustand auch Informationen über das Sexualleben, zu politischen Einstellungen und der ethnischen Herkunft. Diese sensiblen Daten verdienen einen besonderen Schutz. Ein solcher Schutz war vorliegend jedoch nicht gegeben.
Drei weitere Bußgelder
Zusätzlich zur Ahndung dieses strukturellen Verstoßes verhängte die BlnBDI gegen das Unternehmen drei weitere Bußgelder in Höhe von rund 40.000€. Grund hierfür war zum einen die fehlende Beteiligung der betrieblichen Datenschutzbeauftragten bei der Erstellung der Liste und zum anderen eine verspätete Meldung einer Datenpannen.
Zudem wurde die oben erwähnte Liste entgegen den Anforderungen aus Art. 30 DSGVO nicht im Verarbeitungsverzeichnis aufgeführt. Das Verarbeitungsverzeichnis dient der Dokumentation und Transparenz im Inneren des Unternehmens. Es sind alle Datenverarbeitungen, die persönliche Daten betreffen, aufzulisten. Somit wäre auch das Listen der persönlichen Informationen der sich in der Probezeit befindlichen Personen als Datenverarbeitung aufzunehmen. Ein solches Vorgehen ist jedoch unterblieben.
Wie kam es zu der Höhe der Bußgelder?
Art. 83 DSGVO sieht Geldbußen von bis 20 Millionen Euro oder von bis zu vier Prozent des gesamten weltweiten erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr vor – je nachdem, welcher Beitrag höher ist. Die DSK hat zur Bußgeldzumessung in Verfahren gegen Unternehmen bereits vor einigen Jahren ein Konzept veröffentlicht.
Entscheidend für die Höhe der verhängten Bußgelder war im vorliegenden Fall unter anderem der Umsatz des Unternehmens und die Anzahl der betroffenen Beschäftigten. Ferner handelt es sich um eine Verarbeitung von Gesundheitsdaten, sprich besonders sensiblen Daten, die ohne Rechtsgrundlage verarbeitet wurden. Dies stellt einen besonders schwerwiegenden Verstoß dar und ist daher auch von entscheidender Relevanz für die Höhe des Bußgeldes.
Die umfassende Kooperation des Unternehmens mit dem BlnBDI wurde bußgeldmindernd berücksichtigt. Zudem wurde der Verstoß nach öffentlichem Bekanntwerden bereits ohne Aufforderung von Unternehmensseite abgestellt. Auch dies wirkt sich bußgeldmindernd aus.
Es bleibt spannend
Bisher ist der Bußgeldbescheid noch nicht rechtskräftig. Laut Angaben des betroffenen Unternehmens wird der Bußgeldbescheid intern nun geprüft. Die Geschäftsführerin des Unternehmens wurde für die Dauer des Verfahrens von ihren Aufgaben entbunden. Die ergibt sich aus einer von dem Unternehmen veröffentlichte Stellungnahme. Man wolle zudem die Mitarbeitenden der HFS beim Onboarding und in Schulungen sensibilisieren und das Bewusstsein für Datenschutz dauerhaft stärken. Es bleibt abzuwarten, ob das Bußgeld rechtskräftig wird.