Bußgeldverfahren wegen Verstößen gegen die DS-GVO
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat einem Hamburger Unternehmen ein Bußgeld in Höhe von 75.000 Euro auferlegt. Anlass war der unsachgemäße Umgang mit sensiblen Gesundheitsdaten, wodurch gegen Artikel 9 und Artikel 32 der Datenschutz-Grundverordnung (DSGVO) verstoßen wurde.
Was war passiert?
Das Verfahren wurde durch eine Beschwerde eines Mitarbeiters eingeleitet. Der Beschwerdeführer kritisierte, dass er seine krankheitsbedingten Abwesenheiten per E-Mail einem Verteiler mit 25 Empfängern melden musste – darunter auch Personen, mit denen er nicht direkt zusammenarbeitete. Darüber hinaus hatte ein Vorgesetzter eine E-Mail versandt, in der alle seine krankheitsbedingten Fehlzeiten aufgeführt und öffentlich gemacht wurden.
Die Untersuchung des HmbBfDI ergab, dass in einer Abteilung des Unternehmens interne Vorgaben missachtet wurden. Anstatt die Krankmeldungen ausschließlich an die direkten Vorgesetzten und die zuständigen Personalstellen zu richten, wurde ein großer E-Mailverteiler verwendet. Dieser umfasste neben Vorgesetzten auch Kolleginnen und Kollegen, deren Arbeit durch die Abwesenheiten gar nicht betroffen war. Diese Praxis wurde ausschließlich aus Gründen der Bequemlichkeit eingeführt und entsprach nicht den Anforderungen an den Schutz sensibler Daten gemäß Artikel 9 DSGVO.
Besonders schwer wog die zweite Beanstandung: Die Veröffentlichung der zusammengefassten Fehlzeiten des Beschwerdeführers diente laut HmbBfDI allein der Bloßstellung und Maßregelung vor den übrigen Kolleginnen und Kollegen. Diese Verarbeitung der Gesundheitsdaten war nicht erforderlich und damit rechtswidrig.
Bei der Festlegung des Bußgeldes berücksichtigte der HmbBfDI mildernd, dass das Unternehmen eng mit der Behörde zusammenarbeitete, Maßnahmen zur Verbesserung des Datenschutzes ergriff und dem Betroffenen ein Schmerzensgeld zahlte. Erschwerend wurde jedoch der fahrlässige Umgang mit sensiblen Gesundheitsdaten bewertet.
Fazit
Das Unternehmen akzeptierte die Strafe und verzichtete auf Einspruch. Dieses Verfahren unterstreicht die besondere Sensibilität im Umgang mit Gesundheitsdaten und die hohen Anforderungen der DSGVO an ihren Schutz.