Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) verhängte ein Bußgeld in Höhe von 215.000 Euro gegen ein Berliner Unternehmen. Das Bußgeld bezieht sich auf folgende Verstöße:
- Unerlaubte Speicherung von Beschäftigtendaten
- Fehlende Beteiligung der betrieblichen Datenschutzbeauftragten bei der Erstellung der Liste
- Besagte Liste wurde nicht im Verarbeitungsverzeichnis geführt
- Datenpanne wurde zu spät gemeldet
Doch was ist genau passiert?
Mündliche Angaben von Mitarbeitenden wurden gegen sie verwendet
Eine Vorgesetzte führte auf Anweisung ihrer Geschäftsführung eine Liste über alle Mitarbeitenden, die sich noch in der Probezeit befanden. Die Liste sollte dafür verwendet werden, um über eine Weiterbeschäftigung nach der Probezeit zu entscheiden. Als Begründung wurden hier vor allem persönliche Aussagen der Mitarbeitenden, außerbetriebliche Gründe, gesundheitliche Gründe und das Interesse an einer Betriebsratsgründung notiert.
Die Mitarbeitenden wurden nicht darüber informiert, dass ihre Aussagen gesammelt und weiterverarbeitet werden und das hätte auch gemäß DSGVO nicht passieren dürfen. Auch wenn Mitarbeitende persönliche Daten sowie besonders sensible personenbezogene Daten im Rahmen eines Gespräches oder der Dienstplanung offenbaren, dürfen diese weder gespeichert noch weiterverarbeitet werden.
Verarbeitung muss erforderlich und angemessen sein
Die Erhebung, Speicherung und Verarbeitung von Beschäftigtendaten dürfen nur in einem zulässigen Zusammenhang mit dem Arbeitsverhältnis erfolgen. Die Informationen müssen also in einem direkten Zusammenhang mit dem Beschäftigungsverhältnis stehen und sie dürfen ausschließlich Rückschlüsse auf die Arbeitsleistung und das Arbeitsverhalten zulassen. Besonders schwerwiegend ist, dass auch sensible Daten wie Gesundheitsdaten verarbeitet wurden, denn für diese gelten entsprechend höhere Schutzstandards.
Weitere Informationen zum Beschäftigtendatenschutz und zum Grundsatz der Datenminimierung finden Sie hier: Beschäftigtendatenschutz gemäß DSGVO und BDSG – darum ist er wichtig
Wie hätte dies verhindert werden können?
Das Unternehmen kooperierte nach Bekanntwerden des Vorfalls zwar umfassend, doch die Verstöße wurden begangen. Es liegt nahe, zu hinterfragen, ob der Einsatz eines externen Datenschutzbeauftragten diesen Vorfall hätte verhindern können. Mehr über die Vorteile eines externen Datenschutzbeauftragten finden sie hier: 9 Gründe, die für einen externen Datenschutzbeauftragten sprechen.
Wir von HUBIT Datenschutz unterstützen Sie gern bei der Erstellung einer datenschutzkonformen Dokumentation. Sprechen Sie uns an!
Fazit
Natürlich dürfen Vorgesetzte Notizen machen, die dabei unterstützen sollen, eine Entscheidung über die Weiterbeschäftigung von Mitarbeitenden nach der Probezeit zu treffen. Diese Notizen dürfen allerdings nur personenbezogenen Daten enthalten, die geeignet und erforderlich sein, um Rückschlüsse auf die Arbeitsleistung zu ziehen.