Bußgeld für die unzulässige Verarbeitung von Mitarbeiterdaten und ein Einblick in die Bußgelder 2022
Am 2.8.2022 veröffentlichte die Berliner Aufsichtsbehörde eine Pressemitteilung zu einem von ihr erteilten Bußgeldbescheid in Höhe von 215.000 €. Grund dafür war eine Liste über Mitarbeitende in der Probezeit, die von dem verantwortlichen Unternehmen geführt wurde. Die Geschäftsführung des Unternehmens wies eine Vorgesetzte an, eine Liste über alle Mitarbeitenden des Unternehmens zu führen, die sich noch in der Probezeit befinden. In diese Liste wurden dann Gründe eingetragen, die gegen eine Weiterbeschäftigung nach Ende der Probezeit sprechen könnten. Neben Angaben zu der Motivation für die Gründung eines Betriebsrats fanden sich darin auch Gesundheitsdaten oder andere außerbetriebliche Gründe, die einer flexiblen Schichteinteilung entgegenstehen könnten.
Für die Bemessung des Bußgelds zog die Behörde den Umsatz des Unternehmens, die Sensibilität der Gesundheitsdaten sowie die hohe Anzahl der betroffenen Beschäftigten heran. Strafmildernd wurde die Kooperation des Unternehmens mit der Behörde und die sofortige Löschung der Daten berücksichtigt.
Verarbeitung von Mitarbeiterdaten
Natürlich dürfen Arbeitgeber personenbezogene Daten ihrer Mitarbeitenden verarbeiten. Diese Daten müssen jedoch für die Durchführung des Arbeitsverhältnisses erforderlich sein. Entsprechend gilt dies auch für die Daten von Mitarbeitenden in der Probezeit. Es dürfen nur solche Daten verarbeitet werden, die für die Entscheidung über eine Weiterbeschäftigung relevant sind, also Rückschlüsse auf Leistung und Verhalten ermöglichen, die in unmittelbarem Zusammenhang mit dem Beschäftigungsverhältnis stehen.
Häufige Gründe für Bußgelder
Nicht alle Bußgelder fallen so hoch aus und erhalten dadurch weniger Aufmerksamkeit. In ihren Tätigkeitsberichten für das Jahr 2022 geben die Datenschutzbehörden auch Einblick in alle von ihnen verhängten Bußgelder. Aus den zahlreichen individuellen Verstößen lassen sich einige Themenbereiche erkennen, die wiederholt zu Bußgeldern geführt haben:
Video- und GPS-Überwachung
Sowohl gegenüber Privatpersonen als auch gegenüber Unternehmen wurden im Jahr 2022 Bußgelder für die datenschutzwidrige Überwachung betroffener Personen mittels Kamera oder GPS-Tracker verhängt. Für die Videoüberwachung von Mitarbeitenden und Patienten wurde gegen ein Unternehmen aus dem Gesundheitsbereich ein Bußgeld in Höhe von 37.500 € verhängt. 2.000 € sollte ein Gastronomie-Betrieb für die Videoüberwachung der eigenen Gasträume und des öffentlichen Verkehrsraums vor dem Café zahlen.
Unrechtmäßige Werbung
Erhalten betroffene Personen unerwünschte Werbung, haben sie die Möglichkeit, sich bei der Datenschutzbehörde zu beschweren. Dass solche Beschwerden auch zu Maßnahmen der Behörden führen können, zeigen die verhängten Bußgelder im Jahr 2022. Sowohl für Werbung per Post und E-Mail, als auch für Werbung per Telefon wurden Bußgelder von den Datenschutzbehörden verhängt. Dabei führen nicht nur fehlende Rechtsgrundlagen zu Bußgeldern, sondern auch die fehlerhafte Gestaltung der Prozesse. In Kombination mit rechtswidrigem Tracking wurde beispielsweise ein Bußgeld in Höhe von 75.000 € gegen ein Unternehmen verhängt. Die fehlende Möglichkeit, sich von einem E-Mail-Newsletter abzumelden führte dazu, dass gegen einen Versandhändler ein Bußgeld von 50.000 € verhängt wurde.
Nichtmeldung von Datenpannen
Dass eine rechtzeitige Meldung von Datenschutzverstößen dazu führt, dass kein Bußgeld verhängt wird, darüber sind sich die deutschen Aufsichtsbehörden einig. Bußgelderhöhend wurden im Jahr 2022 aber immer wieder Nichtmeldungen von Datenschutzverstößen bewertet.
Nichteinhaltung der Betroffenenrechte
Betroffene Personen machen immer wieder von ihren Datenschutzrechten gebrauch. Werden diese von den Verantwortlichen nicht ernst genommen oder aus anderen Gründen nicht hinreichend beachtet, führt dies regelmäßig zu Beschwerden bei den Aufsichtsbehörden. Insbesondere das Recht auf Löschung und das Recht auf Auskunft sorgten dabei wiederholt für die Verhängung von Bußgeldern.
Die oben genannten Themenbereiche spiegeln sich auch in unserer täglichen Beratungspraxis wider. Regelmäßig unterstützen wir unsere Mandant:innen bei der Beantwortung von Betroffenenanfragen und der Meldung von Datenschutzvorfällen bei der zuständigen Datenschutzbehörde. Daneben zählt natürlich die datenschutzrechtliche Zulässigkeit der einzelnen Verarbeitungstätigkeiten im Unternehmen zu unserer täglichen Beratungspraxis. Videoüberwachung und Werbung sind dabei nur zwei der zahlreichen Themengebiete. Gerne unterstützen wir Sie bei Ihren datenschutzrechtlichen Herausforderungen.