Datenschutz (DSGVO): Verletzung des Schutzes personenbezogener Daten

• Compliance/Datenschutz/ESG
• IP-IT
• KMU

In der Regel tun Unternehmen bei der Einstellung von Personal ihr Bestes, um die arbeitsrechtlichen Vorschriften einzuhalten. Manchmal vergessen sie jedoch, für einen angemessenen Schutz der personenbezogenen Daten ihrer Mitarbeiter (einschließlich aktueller, ehemaliger und potenzieller Mitarbeitenden) gemäß den geltenden Datenschutzvorschriften wie der EU-Datenschutzgrundverordnung zu sorgen. Die EU-Datenschutzgrundverordnung (GDPR) hat extraterritoriale Wirkung.

Verstöße gegen die DSGVO

Wie die Praxis der Strafverfolgung zeigt, können gegen Unternehmen und – in bestimmten Fällen – sogar gegen Privatpersonen, die in solchen Unternehmen arbeiten, recht hohe Geldstrafen für die Verletzung personenbezogener Daten von Mitarbeitenden verhängt werden.

Videoüberwachung von Mitarbeitenden

So wurde beispielsweise eine Geldbuße in Höhe von insgesamt 10,4 Mio. EUR gegen ein Unternehmen verhängt, das im Elektronikeinzelhandel tätig war, weil es seine Mitarbeitenden mindestens zwei Jahre lang videoüberwacht hatte, ohne dafür eine Rechtsgrundlage zu haben. Dieses Unternehmen installierte Videokameras, die die Arbeitsplätze, Aufenthaltsbereiche, Verkaufsräume und Lager der Mitarbeitenden erfassten. Darüber hinaus waren auch die Kunden des Unternehmens von dieser Videoüberwachung betroffen, da einige Kameras auf Sitzgelegenheiten im Verkaufsbereich gerichtet waren. Ziel der Videoüberwachung war die Verfolgung von Warenbewegungen in den Lagern sowie die Verhinderung und Aufklärung von Straftaten. Die deutsche Datenschutzbehörde vertrat jedoch den Standpunkt, dass ein Unternehmen zunächst mildere Mittel zur Verhinderung von Diebstählen in Erwägung ziehen müsse. Die Videoüberwachung zur Aufdeckung von Straftaten sei zudem nur dann zulässig, wenn ein begründeter Verdacht gegen bestimmte Personen bestehe (in einem solchen Fall könne es zulässig sein, nur diese bestimmten Personen für einen begrenzten Zeitraum mit Kameras zu überwachen). Die von dem Einzelhändler durchgeführte Videoüberwachung war jedoch weder auf bestimmte Mitarbeiter noch auf einen bestimmten Zeitraum beschränkt. Außerdem wurden die Videoaufzeichnungen in vielen Fällen von dem Unternehmen 60 Tage lang aufbewahrt, was deutlich länger war als in diesem speziellen Fall erforderlich.

Übermässige Datenerhebung

Ein weiteres Bußgeld in Höhe von insgesamt 294.000 Euro wurde gegen ein Unternehmen verhängt, weil es bei der Verarbeitung personenbezogener Daten von Mitarbeitern die in der DSGVO festgelegten allgemeinen Grundsätze der Datenverarbeitung nicht beachtet hatte. Insbesondere wurde dem Unternehmen von der deutschen Datenschutzbehörde „übermäßige“ Datenerhebung im Rahmen des Personalauswahlverfahrens vorgeworfen, bei dem unter anderem Gesundheitsdaten abgefragt wurden, sowie „unnötig lange“ Speicherung und Aufbewahrung von Personalakten.

Weitergabe gesundheitsbezogener Daten von Mitarbeitern an Kunden

Gegen eine Autohandelsgruppe wurde ein Bußgeld wegen Verstoßes gegen die Datenschutz-Grundverordnung verhängt, insbesondere weil sie personenbezogene Gesundheitsdaten ihrer Mitarbeiter an Kunden weitergegeben hatte, ohne dass es dafür eine gültige Rechtsgrundlage gab. Tatsächlich hatte das Unternehmen seinen Kundenstamm, zu dem etwa 3 000 Kunden gehörten, darüber informiert, dass der Grund für die Umstrukturierung die krankheitsbedingte Abwesenheit eines Mitarbeiters war. Unter anderem teilte das Unternehmen das genaue Datum mit, seit dem der Mitarbeiter nicht mehr arbeiten konnte, sowie dass diese Situation auf unbestimmte Zeit andauern würde.

Veröffentlichung von persönlichen Daten

Eine Universität wurde aufgrund einer Beschwerde ihres ehemaligen Mitarbeiters zu einer Geldstrafe verurteilt, weil sie ein Dokument veröffentlicht hatte, das dessen persönliche Daten enthielt. Tatsächlich enthielt dieses Dokument Informationen über einen Rechtsstreit zwischen der Universität und ihrem ehemaligen Mitarbeiter. Die italienische Datenschutzbehörde kam zu dem Schluss, dass die Universität über keine gültige Rechtsgrundlage für die Veröffentlichung des Dokuments verfügte.

Weitergabe personenbezogener Daten

Ein anderes Unternehmen wurde von der spanischen Datenschutzbehörde aufgrund einer Beschwerde eines ehemaligen Mitarbeiters zu einer Geldstrafe verurteilt, weil das Unternehmen die personenbezogenen Daten des Mitarbeiters unrechtmäßig an eine Kreditauskunftei weitergegeben hatte.

Unterlassene Meldung einer Datenschutzverletzung

Ein Unternehmen, das von einer Datenschutzverletzung betroffen war, bei der eine Arbeitsbescheinigung mit personenbezogenen Daten eines Mitarbeiters verloren ging, meldete diese Datenschutzverletzung nicht an die Datenschutzbehörde. Infolgedessen wurde gegen das Unternehmen eine Geldstrafe wegen Nichterfüllung der Meldepflicht für Datenschutzverletzungen verhängt.

Fragliche Einwilligung im Arbeitnehmer-/ Arbeitnehmer-Verhältnis

Übrigens wurde die Polizeibehörde in Italien ebenfalls zu einer Geldstrafe in Höhe von insgesamt 12 000 Euro verurteilt, weil sie personenbezogene Daten ihrer Mitarbeiter per E-Mail an verschiedene Verwaltungseinheiten übermittelt hatte. Die übermittelte Liste enthielt nämlich Namen, Adressen, Kontaktdaten, Steuernummern der Mitarbeiter und ihre Termine für Covid-19-Tests. Die Polizeibehörde berief sich auf die von den Beschäftigten erteilte Einwilligung als Rechtsgrundlage für diese Datenverarbeitung. Die Datenschutzbehörde kam jedoch zu dem Schluss, dass sich die Polizeibehörde nicht auf eine solche Einwilligung berufen kann, da eine freiwillige Einwilligung im Arbeitnehmer-Arbeitgeber-Verhältnis fraglich ist.

Verstoss wegen unsorgfältigem oder unsachgemässem Umgang personenbezogener Daten

Ein Modeunternehmen wurde von der deutschen Datenschutzbehörde zu einer Geldstrafe von insgesamt über 35 Mio. EUR verurteilt. Die Behörde hatte herausgefunden, dass das Unternehmen seit über fünf Jahren umfassend Informationen über die privaten Lebensumstände einiger seiner Mitarbeiter erfasst und auf einem Netzlaufwerk gespeichert hatte. So führte das Unternehmen beispielsweise, wenn seine Mitarbeiter nach ihrem Urlaub oder ihrer Krankheit an ihren Arbeitsplatz zurückkehrten, ein so genanntes „Willkommensgespräch“. Die während dieses Gesprächs bekannt gewordenen Informationen (einschließlich Daten über Krankheitssymptome und Diagnosen der Mitarbeiter) wurden aufgezeichnet und gespeichert. Darüber hinaus nutzten einige Vorgesetzte des Unternehmens Klatsch und Tratsch, um sich ein umfassendes Bild von einzelnen Mitarbeitern zu machen, z. B. über deren familiäre Probleme und religiöse Überzeugungen. Die gesamten auf dem Netzlaufwerk gespeicherten Informationen waren bis zu 50 Führungskräften des Unternehmens zugänglich und wurden u. a. dazu verwendet, die Arbeitsleistung der Mitarbeiter zu bewerten und Einstellungsentscheidungen zu treffen. Diese Datensammlung wurde jedoch aufgrund eines technischen Konfigurationsfehlers weithin bekannt, was dazu führte, dass das gesamte Unternehmen mehrere Stunden lang offenen Zugang zu diesen Daten hatte.

Die deutsche Datenschutzbehörde hat auch gegen eine Reihe von Mitarbeitern von Unternehmen Bußgelder wegen der Verletzung personenbezogener Daten anderer Mitarbeiter verhängt. So hat eine Mitarbeiterin von ihrem Dienstrechner aus eine Excel-Tabelle mit Daten von 56 Mitarbeitern an ihre private E-Mail-Adresse geschickt, obwohl dies für ihre dienstliche Tätigkeit im Unternehmen nicht erforderlich war. Diese Tabelle enthielt übrigens neben den vollständigen Namen der Beschäftigten auch Angaben zu deren Lohn, eine Übersicht über bereits genommene und verbleibende Urlaubstage, aufgelaufene Krankheitstage, geleistete Überstunden und Sozialversicherungsbeiträge. Die Datenschutzbehörde kam zu dem Schluss, dass diese Mitarbeiterin die Daten der anderen Mitarbeiter unrechtmäßig an ihre private E-Mail-Adresse übermittelt hatte.

Ein Angestellter eines anderen Unternehmens wurde ebenfalls mit einer Geldstrafe belegt, weil er Bewerbungsunterlagen, die er von seinem Arbeitgeber erhalten hatte, unbefugt von seiner dienstlichen E-Mail-Adresse an seine private E-Mail-Adresse weitergeleitet hatte. Ziel dieser Weiterleitung war es, Anregungen für die Gestaltung der eigenen Bewerbungen zu erhalten. Allerdings hatte der Arbeitnehmer die Lebensläufe zuvor nicht anonymisiert, so dass sie noch persönliche und berufliche Daten anderer Bewerber enthielten. Die Datenschutzbehörde kam zu dem Schluss, dass die Weiterleitung dieser Bewerbungsunterlagen an seine private E-Mail-Adresse rechtswidrig war, da sie nicht zu seinen beruflichen Pflichten gehörte.

Unsere Empfehlungen

Um die Risiken einer Geldstrafe wegen der Verletzung der personenbezogenen Daten von Mitarbeitern zu mindern, empfehlen wir unter anderem:

• die Ausarbeitung unternehmensinterner Dokumente, welche die Verarbeitung personenbezogener Daten aktueller, ehemaliger und potenzieller Mitarbeiter im Einklang mit den geltenden Datenschutzbestimmungen (einschließlich der DSGVO) regeln, wobei die einschlägige Praxis der Strafverfolgungsbehörden zu berücksichtigen ist,

• die Durchführung von Schulungen für die Mitarbeiter, um sie auf die Anforderungen und Beschränkungen im Bereich des Schutzes personenbezogener Daten aufmerksam zu machen,

• die Umsetzung anderer erforderlicher organisatorischer und technischer Maßnahmen im Bereich des Datenschutzes,

• die Einzelfallprüfung vor der Verarbeitung personenbezogener Daten und die Sicherstellung, dass es tatsächlich eine gültige Rechtsgrundlage für diese spezielle Datenverarbeitung gibt.