Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen die Humboldt Forum Service GmbH wegen mehrerer Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) Bußgelder in einer Gesamthöhe von 215.000 EUR verhängt.
Um mögliche Kündigungen zum Ende der Probezeit vorzubereiten, hatte das Unternehmen über einzelne Beschäftigte sensible Informationen, wie den Gesundheitszustand oder das Interesse an einer Betriebsratsgründung, dokumentiert.
Missstände bereits seit 2021 bekannt
Bereits im Mai 2021 hatten der SPIEGEL und das TV-Politikmagazin Frontal 21 auf deutliche Missstände und ein vergiftetes Arbeitsklima bei der Humboldt Forum Service GmbH (HFS) hingewiesen. Die HFS ist eine Tochterfirma der Stiftung Humboldt Forum und für den Besucherservice und Wachaufgaben zuständig. Es wurde darüber berichtet, dass auf Weisung der Geschäftsführung eine Vorgesetzte der HFS vom März bis Juli 2021 eine Liste aller Mitarbeiter in der Probezeit angelegt hatte, um mögliche Kündigungen vorzubereiten. In dieser Liste wurden auch sensible Informationen erfasst. Dabei wurden unter anderem gesundheitliche Belange, persönliche Äußerungen, das Interesse an der Gründung eines Betriebsrats sowie die Teilnahme an einer Psychotherapie dokumentiert. Einige der aufgeführten Informationen hatten die Beschäftigten für die Dienstplanung selbst mitgeteilt. Dass diese Informationen allerdings in einer Liste weiterverarbeitet wurden, wurde ihnen nicht mitgeteilt.
Berliner Datenschutzbeauftragte verhängt mehrere Bußgelder
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnDI), Meike Kamp, wurde durch die Medienberichterstattung und die persönliche Beschwerde eines betroffenen HFS-Mitarbeiters auf den Fall aufmerksam und leitete ein Prüfungsverfahren ein. Das Ergebnis liegt nun seit Anfang August vor: Die Verarbeitung der erhobenen Daten war nicht rechtmäßig und stellt einen Verstoß gegen die DSGVO dar. Die Verarbeitung der sensiblen Daten wurde mit einem Bußgeld von 175.000 EUR geahndet. Außerdem wurden noch drei weitere Bußgelder in einer Gesamthöhe von 40.000 EUR verhängt wegen fehlender Beteiligung der betrieblichen Datenschutzbeauftragten bei der Erstellung der Liste, verspäteter Meldung einer Datenpanne und fehlender Erwähnung der Liste im Verarbeitungsverzeichnis.
Bei der Bemessung der Bußgelder hat die BlnBDI den Umsatz und die Anzahl der betroffenen Beschäftigten berücksichtigt. Entscheidend dabei war, dass die Verarbeitung von Gesundheitsdaten ohne Rechtsgrundlage einen besonders schwerwiegenden Verstoß darstellt. Bußgeldmindernd kam zum Tragen, dass das Unternehmen umfassend mit der BlnBDI kooperiert hat und den Verstoß nach öffentlichem Bekanntwerden bereits ohne Aufforderung von sich aus abgestellt hat.
Beschäftigtendaten dürfen nur in unmittelbarem Zusammenhang mit der Beschäftigung gespeichert werden
In ihrer Begründung führt die BlnDI aus, dass die Erhebung, Speicherung und Verwendung von Beschäftigtendaten stets im zulässigen Zusammenhang mit dem Beschäftigungsverhältnis erfolgen müssen. Dies sei in diesem Fall nicht gegeben gewesen. Insbesondere Gesundheitsdaten seien besonders sensitive Informationen, die nur in engen Grenzen verarbeitet werden dürfen.
Grundsätzlich dürfen Arbeitgeber Überlegungen anstellen, inwiefern Beschäftigte weiterbeschäftigt werden und insofern auch personenbezogene Daten verarbeiten. Die verarbeiteten Daten müssen jedoch für diesen Zweck geeignet und erforderlich sein. Sie dürfen nur Rückschlüsse auf Leistung oder Verhalten zulassen, die in unmittelbarem Zusammenhang mit dem Beschäftigungsverhältnis stehen. Arbeitgeber dürfen auch von Beschäftigten selbst mitgeteilte Informationen nicht einfach weiterverarbeiten, sondern müssen prüfen, ob die Verarbeitung erforderlich und angemessen ist.
HINWEIS: Besondere Kategorien personenbezogener Daten Die DSGVO enthält in Artikel 9 eine Liste mit „besonderen Kategorien personenbezogener Daten“, die nur in wenigen Ausnahmefällen gesammelt, dokumentiert und verarbeitet werden dürfen. Dazu zählen außer den Gesundheitsdaten auch die Gewerkschaftszugehörigkeit, politische Einstellungen, die ethnische Herkunft und Informationen über das Sexualleben. |
HFS legt keinen Einspruch gegen den Bußgeldbescheid ein
Die HFS hat den Bußgeldbescheid der BlnDI bereits kurz nach dessen Zustellung akzeptiert und öffentlich bekanntgegeben, keinen Einspruch gegen den Bescheid einlegen zu wollen. In der diesbezüglichen Pressemitteilung heißt es: „Wir nehmen den Vorgang und die Entscheidung der Datenschutzbeauftragten sehr ernst. Als Muttergesellschaft der HFS setzen wir uns dafür ein, dass sich ein solcher Vorgang nicht wiederholt. Wir haben bei der HFS direkt 2021 mit umfassenden Compliance-Maßnahmen und Fortbildungen im Datenschutzbereich für alle Bereiche begonnen und führen diese Maßnahmen und Fortbildungen seitdem kontinuierlich fort.“
Links:
Pressemitteilung der Berliner Beauftragten für den Datenschutz