Offenlegungen von Beschäftigtendaten
In zwei Fällen verhängte die Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Geldbußen gegen Unternehmen in ihrer Funktion als Arbeitgeberinnen, die personenbezogene Daten ihrer Beschäftigten gegenüber Dritten ohne Rechtsgrundlage offenbart hatten.
In einem Fall versandte eine Arbeitgeberin im Rahmen der Abgabe des Vertriebsgeschäftes und der damit verbundenen betriebsbedingten Kündigungen einen ungeschwärzten Sozialplan an alle betroffenen Beschäftigten, sodass die darin enthaltenen personenbezogenen Daten wie zum Beispiel Geburtsdatum, Alter, Familienstand, Anzahl unterhaltspflichtiger Kinder, Funktion im Unternehmen, Eintrittsdatum, Beschäftigungsdauer, Elternzeit, Betriebsratszugehörigkeit und Schwerbehinderung allen Beschäftigten offenbart wurden. Die Daten der Beschäftigten, die nicht Empfänger:innen des jeweiligen Kündigungsschreibens waren, wurden vor Zustellung der Dokumente an die betroffenen Personen nicht geschwärzt. Eine Offenlegung dieser Daten bedarf wie jede andere Datenverarbeitung einer Rechtsgrundlage nach Artikel 6 Absatz 1 Datenschutzgrundverordnung (DSGVO). Hier fiel auch ins Gewicht, dass die Namensliste unter anderem auch nach Artikel 9 DSGVO besonders geschützte Daten wie zum Beispiel Schwerbehinderung enthielt. Die gegenseitige Kenntnis der offenbarten Daten unter den Beschäftigten durfte nicht vorausgesetzt werden. In diesem Fall verhängte die LfDI eine Geldbuße im unteren fünfstelligen Bereich.
Im Fall eines Unternehmens mit einem etwa dreimal höheren Jahresumsatz übermittelte die ehemalige Arbeitgeberin Gehaltsabrechnungen ihrer Beschäftigten ohne deren Einverständnis an ein anderes Unternehmen, das diese Beschäftigten in der Zukunft weiter beschäftigen sollte. Auf der Grundlage der Kenntnis der übermittelten Gehaltsdaten der Beschäftigten erstellte die neue Arbeitgeberin Arbeitsverträge, in denen die Arbeitnehmer:innen nicht entsprechend ihrer bisherigen Entgeltgruppe und Entgeltstufe übernommen werden sollten, sondern mit niedrigeren Entgelten eingestuft wurden. In diesem Fall wurde eine Geldbuße im hohen fünfstelligen Bereich verhängt. Erheblich sanktionserhöhend wirkten sich dabei gemäß Artikel 83 Absatz 2 Satz 2 Buchstabe a DSGVO die hohe zweistellige Zahl der betroffenen Beschäftigten und der ihnen entstandene Schaden aus. Durch die unrechtmäßige Weitergabe der Gehaltsdaten hatte sich ihre Verhandlungsposition in Bezug auf die neu auszuhandelnden Gehälter deutlich verschlechtert. Der Bescheid zur Verhängung der Geldbuße nach Artikel 83 DSGVO war zu Redaktionsschluss noch nicht rechtskräftig.
Quelle: LfDI der Freien Hansestadt Bremen
Fragen Sie sich, ob Ihr Unternehmen bei Datenschutz und Datensicherheit gut aufgestellt ist?
Unverbindlich mit Datenschutzbeauftragten sprechen
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks