Im jüngsten Fall der Berliner Beauftragten für Datenschutz und Informationsfreiheit wurden gegen ein Unternehmen Bußgelder in Höhe von insgesamt EUR 215.000 verhängt. Grund hierfür waren schwerwiegende Datenschutzverstöße im Zusammenhang mit Beschäftigtendaten. Dieser Fall verdeutlicht die Bedeutung datenschutzkonformer Verarbeitung personenbezogener Daten von Mitarbeitenden.

Das Unternehmen hatte insbesondere sensible Informationen über den Gesundheitszustand von Mitarbeitenden in der Probezeit erfasst. Der Vorfall wurde durch Medienberichte und die Beschwerde eines Betroffenen bekannt und daraufhin von der Berliner Datenschutzbeauftragten aufgegriffen.

Liste mit Informationen über Mitarbeitende in der Probezeit

Eine Vorgesetzte hatte auf Anweisung der Geschäftsführung Daten über Mitarbeitende in einer Liste gesammelt, um Entscheidungen über die Fortsetzung oder Beendigung von Arbeitsverhältnissen in der Probezeit vorzubereiten. Eine detaillierte Übersicht listete die Mitarbeitenden in der Probezeit auf und bewertete die zukünftige Beschäftigung von elf Personen als „kritisch" oder „sehr kritisch". 

Die Gründe für diese Einschätzung wurden in einer gesonderten Spalte erläutert. Dort wurden u.a. 

• Arbeitsmotivation, 
• Krankentage, 
• soziale oder politische Einstellungen, 
• mögliches Interesse an einem – noch nicht bestehenden – Betriebsrat 
• sowie außerbetriebliche Gründe, die einer flexiblen Schichteinteilung entgegenstehen würden, 

vermerkt. Solche Gründe waren z. B. andere Tätigkeiten, ein Studium oder ein Hobby. Bei zwei Personen wurde aufgeführt, dass regelmäßige Psychotherapietermine der gewünschten Flexibilität entgegenstünden. Viele dieser Informationen hatten die Mitarbeitenden selbst mitgeteilt, jedoch ohne Kenntnis über die Weiterverarbeitung in einer solchen Liste.

Die Entscheidung der Berliner Datenschutzbeauftragten: Bußgeld wegen nicht rechtmäßiger Datenverarbeitung

Wenig überraschend kam die Berliner Datenschutzbeauftragte zu dem Ergebnis, dass diese Verarbeitung der Daten nicht rechtmäßig war. Insbesondere Gesundheitsdaten seien äußerst sensible Informationen, die nur unter strengen Auflagen verarbeitet werden dürfen.

Die Bemessung der Bußgelder erfolgte unter Berücksichtigung des Unternehmensumsatzes und der Anzahl der betroffenen Beschäftigten. Die Verarbeitung von Gesundheitsdaten ohne Rechtsgrundlage wog besonders schwer. Allerdings wurde positiv gewertet, dass das Unternehmen umfassend mit der Berliner Datenschutzbeauftragten kooperierte und den Verstoß nach Bekanntwerden ohne Aufforderung beendete; dies wirkte sich bußgeldmindernd aus. 

Neben dem Bußgeld für diesen schwerwiegenden Verstoß wurden dem Unternehmen drei weitere Bußgelder in Höhe von etwa EUR 40.000 auferlegt. Diese beruhten auf der fehlenden Beteiligung der betrieblichen Datenschutzbeauftragten bei der Erstellung der Liste, der verspäteten Meldung einer Datenpanne und dem Fehlen der Liste im Verarbeitungsverzeichnis. Der Bescheid ist inzwischen rechtskräftig.

Was müssen Personalverantwortliche beachten?

Unternehmen dürfen selbstverständlich Erwägungen über die Weiterbeschäftigung von Mitarbeitenden in der Probezeit anstellen und hierfür auch personenbezogene Daten nutzen. Allerdings muss die Verarbeitung der betreffenden Daten für diesen Zweck erforderlich und angemessen sein. Die Daten dürfen – so ausdrücklich die Berliner Datenschutzbeauftragte – nur auf Leistung und Verhalten im direkten Zusammenhang mit dem Beschäftigungsverhältnis schließen lassen. Auch von den Mitarbeitenden selbst mitgeteilte Informationen dürfen Unternehmen nicht einfach weiterverarbeiten, sondern müssen ebenfalls Erforderlichkeit und Angemessenheit im Hinblick auf den Zweck der Verarbeitung prüfen. Personalverantwortliche müssen diese Grundsätze bei der Vorbereitung und Dokumentation entsprechender Entscheidungen beachten. 

Wo genau die Grenze für einen direkten Zusammenhang personenbezogener Daten mit dem Beschäftigungsverhältnis zu ziehen ist, bleibt weitgehend offen. Im Jahresbericht 2021 der Berliner Datenschutzbeauftragten findet sich zu den die Arbeitszeitflexibilität beeinträchtigenden Gründen zumindest der Hinweis, für die Entscheidung über die Fortführung eines Arbeitsverhältnisses genüge es regelmäßig, dass die beschäftigte Person zu bestimmten Zeiten nicht verfügbar sei. Auf dieser Grundlage könne – ohne Kenntnis des Grundes für die Verhinderung – entschieden werden, ob die angegebene verfügbare Zeit ausreiche, um das Arbeitsverhältnis fortzusetzen.

Dieser Fall unterstreicht erneut die Ernsthaftigkeit von Datenschutzverstößen im betrieblichen Kontext. Unternehmen sollten bei der Verarbeitung von Beschäftigtendaten höchste Sorgfalt walten lassen, um solche kostspieligen und reputationsgefährdenden Verfahren zu vermeiden.

Wir unterstützen Sie bei allen Fragen zum Datenschutz im Arbeitsverhältnis - sprechen Sie uns gern an.