Messengerdaten im Disziplinarverfahren
Datenschutzverstoß bei Autostrade per l’Italia: Messenger-Screenshots für Disziplinarmaßnahme
Im Mai 2025 hat die italienische Datenschutzbehörde (Garante per la protezione dei dati personali) ein Bußgeld in Höhe von 420.000 € gegen das Unternehmen Autostrade per l’Italia verhängt. Grund: Das Unternehmen hatte Screenshots von Messenger-Nachrichten (WhatsApp) und Facebook-Posts verwendet, um gegen eine Mitarbeiterin disziplinarisch vorzugehen.
Rechtslage und Bewertung
1. Keine gültige Rechtsgrundlage
-
Das Unternehmen berief sich auf berechtigte Interessen nach Art. 6 Abs. 1 lit. f DSGVO.
-
Eine dokumentierte Interessenabwägung lag nicht vor.
-
Die Behörde entschied, dass diese Grundlage hier nicht greift. Die Eingriffsintensität war nicht gerechtfertigt.
2. Verstoß gegen die Grundsätze der Verarbeitung
-
Art. 5 Abs. 1 DSGVO verletzt: insbesondere Rechtmäßigkeit, Zweckbindung, Datenminimierung.
-
Die Herkunft der Daten (Zuspielung durch Dritte) spielt keine Rolle. Maßgeblich ist die Nutzung durch den Arbeitgeber.
-
Die Behörde wies nach, dass die Informationen nicht erforderlich waren. Das Disziplinarverfahren hätte auch ohne sie geführt werden können.
3. Eingriff in das Privatleben
-
Nach italienischem Arbeitsrecht (Art. 113 Codice Privacy) dürfen Arbeitgeber das Privatleben von Beschäftigten nur bei konkretem arbeitsrechtlichem Bezug prüfen.
-
Die übermittelten Nachrichten stammten aus rein privaten Konversationen.
-
Die Nutzung war nicht nur rechtswidrig, sondern auch exzessiv.
Was Unternehmen jetzt konkret umsetzen sollten
I. Interne Vorgaben schaffen
-
Dienstvereinbarungen zum Umgang mit dienstlichen und privaten Kommunikationsmitteln.
-
Regelungen, wie und wann private Daten in arbeitsrechtlichen Verfahren verwendet werden dürfen – falls überhaupt.
II. Entscheidungen dokumentieren
-
Jede Verarbeitung personenbezogener Daten muss begründet und dokumentiert werden.
-
Bei berechtigten Interessen ist eine strukturierte Interessenabwägung erforderlich (Empfehlung: nach dem Modell der Datenschutzkonferenz).
III. Mitarbeiterschulungen durchführen
-
Personalabteilung und Führungskräfte müssen wissen, dass:
-
Nicht jede Information aus Social Media verwertbar ist.
-
Private Inhalte besonders geschützt sind.
-
Datenschutz auch im Arbeitsverhältnis gilt.
-
IV. Grundsätze beachten
| Grundsatz | Was er konkret verlangt |
|---|---|
| Rechtmäßigkeit | Klar definierte, rechtlich zulässige Zwecke |
| Transparenz | Mitarbeiter müssen über Zwecke informiert sein |
| Datenminimierung | Nur erforderliche Informationen verarbeiten |
| Zweckbindung | Keine Nutzung für andere als die angegebenen Zwecke |
V. Datenschutzbeauftragten einbeziehen
-
Frühzeitig in Prozesse einbinden, wenn:
-
disziplinarische Maßnahmen geplant sind,
-
externe Informationen einbezogen werden,
-
Zweifel über Zulässigkeit der Datenverwendung bestehen.
-
VI. Alternativen prüfen
-
Vor jeder Maßnahme muss geprüft werden:
-
Gibt es andere Beweismittel?
-
Kann der Sachverhalt arbeitsrechtlich auch ohne personenbezogene Daten geklärt werden?
-
Ist die Maßnahme verhältnismäßig?
-
Sind Sie sicher, ob Ihr Unternehmen oder Behörde im Hinblick auf Datenschutz und Datensicherheit optimal aufgestellt ist?
Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks