Der Schutz personenbezogener Daten am Arbeitsplatz ist ein essenzielles Thema, das Arbeitgeber ernst nehmen müssen. Ein aktueller Fall in Hamburg zeigt, wie schnell Fehler im Umgang mit sensiblen Daten zu hohen Bußgeldern und Vertrauensverlust führen können.
Der Vorfall: Datenschutzverletzungen bei Krankmeldungen
In einem Hamburger Unternehmen wurde bekannt, dass Beschäftigte ihre krankheitsbedingten Abwesenheiten per E-Mail einem großen Verteiler mit 25 Empfängern mitteilen mussten. Diese Gruppe umfasste nicht nur Vorgesetzte und Personalverantwortliche, sondern auch Kollegen, die in keinem direkten Arbeitszusammenhang mit den Betroffenen standen. Darüber hinaus versandte ein Abteilungsleiter eine E-Mail, in der die Fehlzeiten eines Mitarbeiters detailliert aufgelistet und anprangernd dargestellt wurden. Diese Vorgehensweise führte zu einer Beschwerde beim Hamburger Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI).
Sensible Gesundheitsdaten und ihre besondere Stellung
Gesundheitsdaten zählen gemäß Art. 9 Abs. 1 DSGVO zu den besonderen Kategorien personenbezogener Daten. Diese erfordern einen besonders hohen Schutz. Die Offenlegung der Krankmeldungen an einen großen Verteilerkreis war weder erforderlich noch rechtlich zulässig. Eine Weitergabe an den direkten Vorgesetzten oder eine verantwortliche Personalstelle wäre ausreichend gewesen. Das Unternehmen verstieß somit gegen Art. 32 DSGVO (Sicherstellung einer angemessenen Datensicherheit) und Art. 9 DSGVO (Verarbeitung besonderer Kategorien personenbezogener Daten).
Konsequenzen und Maßnahmen
Der HmbBfDI verhängte ein Bußgeld von 75.000 Euro gegen das Unternehmen. Mildernd wurde berücksichtigt, dass das Unternehmen mit der Aufsichtsbehörde kooperierte und dem betroffenen Mitarbeiter Schmerzensgeld zahlte. Erschwerend wirkte jedoch, dass Gesundheitsdaten verarbeitet wurden, die nach der DSGVO besonders geschützt sind.
Lehren für Arbeitgeber
Dieser Fall verdeutlicht die Notwendigkeit klarer Datenschutzrichtlinien im Umgang mit Krankmeldungen. Arbeitgeber sollten:
- Krankheitsbedingte Abwesenheiten nur an direkt zuständige Personen weiterleiten.
- E-Mail-Verteiler vermeiden, die nicht zwingend erforderlich sind.
- Beschäftigte und Führungskräfte für den Datenschutz sensibilisieren.
Wir stehen Ihnen beratend zur Seite
Wenn Sie Unterstützung bei der Implementierung datenschutzkonformer Prozesse benötigen, stehen wir Ihnen gerne zur Seite. Unsere Experten helfen Ihnen, die Vorgaben der DSGVO effizient und praxisnah umzusetzen.