Unzulässige Offenlegung von Gesundheitsdaten im beruflichen Umfeld. Das kann richtig teuer werden.
Ein aktueller Fall aus Hamburg zeigt, wie wichtig es ist, dass Unternehmen die Datenschutz-Grundverordnung (DSGVO) einhalten, insbesondere wenn es um sensible Gesundheitsdaten von Beschäftigten geht. In diesem Blogartikel fassen wir die wesentlichen Punkte eines Verstoßes gegen die DSGVO durch ein Hamburger Unternehmen zusammen.
Was ist passiert?
Ein Hamburger Unternehmen wurde mit einem Bußgeld von 75.000 Euro belegt, weil es gegen die DSGVO verstoßen hat. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) deckte den Verstoß auf, nachdem ein Mitarbeiter eine Beschwerde eingereicht hatte. Der Mitarbeiter bemängelte, dass er seine krankheitsbedingten Abwesenheiten per E-Mail einem großen Kreis von Kolleginnen und Kollegen sowie Vorgesetzten mitteilen musste. Diese Praxis führte dazu, dass sensible Gesundheitsdaten ohne Notwendigkeit an viele Personen weitergegeben wurden.
Besonders problematisch war der Fall eines Abteilungsleiters, der die gesamten krankheitsbedingten Abwesenheitstage des Mitarbeiters öffentlich machte, indem er diese an alle Empfänger des E-Mail-Verteilers schickte.
Diese Handlung war nicht nur unnötig, weil durch keinen datenschutzrechtlichen Erlaubnistatbestand zu rechtfertigen, sondern diente offenbar vielmehr auch dazu, den Mitarbeiter vor seinen Kollegen bewusst zu maßregeln und bloßzustellen.
Im Detail: Warum war das problematisch?
Die DSGVO schützt personenbezogene Daten und stellt besondere Anforderungen an den Umgang mit sensiblen Daten wie Gesundheitsinformationen. Zwei wesentliche Artikel der DSGVO wurden in diesem Fall verletzt:
Verstoß gegen Art. 32 DSGVO: Sicherheit der Verarbeitung
Artikel 32 der DSGVO verlangt, dass Verantwortliche und Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dazu gehören unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten sowie Verfahren zur regelmäßigen Überprüfung der Wirksamkeit dieser Maßnahmen.
In diesem Fall hat das Unternehmen gegen diese Anforderungen verstoßen, indem es krankheitsbedingte Abwesenheiten über einen großen E-Mail-Verteiler bekannt machte. Der Verteiler umfasste 25 Personen, darunter auch solche, die nicht direkt mit den betreffenden Beschäftigten zusammenarbeiteten. Diese Vorgehensweise gefährdete die Vertraulichkeit der Gesundheitsdaten erheblich und zeigte, dass keine angemessenen organisatorischen Maßnahmen zur Sicherstellung der Datensicherheit getroffen wurden.
Verstoß gegen Art. 9 DSGVO: Verarbeitung besonderer Kategorien personenbezogener Daten
Artikel 9 der DSGVO verbietet grundsätzlich die Verarbeitung besonderer Kategorien personenbezogener Daten, zu denen auch Gesundheitsdaten gehören. Ausnahmen sind nur unter bestimmten Bedingungen zulässig, wie beispielsweise die ausdrückliche Einwilligung der betroffenen Person oder wenn die Verarbeitung für die Erfüllung von Pflichten und Rechten aus dem Arbeitsrecht erforderlich ist.
Im vorliegenden Fall war die Weitergabe der Gesundheitsdaten an eine große Gruppe von Kollegen weder notwendig noch durch eine der Ausnahmen gerechtfertigt. Die Offenlegung erfolgte in einem Umfang, der nicht durch die Erfordernisse der Aufgabenplanung und -umverteilung gedeckt war. Dies verletzte den Grundsatz der Zweckbindung und der Datenminimierung, da mehr Personen als notwendig Zugang zu den sensiblen Daten erhielten.
Die Reaktion des Unternehmens
Das betroffene Unternehmen hat das Bußgeld von 75.000 Euro akzeptiert und auf einen Einspruch verzichtet. Bei der Bemessung des Bußgeldes wurde mildernd berücksichtigt, dass das Unternehmen umfassend mit der Aufsichtsbehörde zusammengearbeitet und dem betroffenen Mitarbeiter Schmerzensgeld gezahlt hat. Verschärfend wirkte jedoch der Umstand, dass es sich um besonders schutzbedürftige Gesundheitsdaten handelte.
Lehren aus dem Vorfall
Dieser Fall zeigt, dass Unternehmen gut beraten sind, die Datenschutzvorschriften strikt einzuhalten und sicherzustellen, dass insbesondere sensible Daten wie Gesundheitsinformationen stets angemessen geschützt werden. Datenschutz im Arbeitsumfeld ist unverzichtbar, um die Privatsphäre und Sicherheit der Beschäftigten zu gewährleisten. Verstöße können schwerwiegende Konsequenzen haben, einschließlich Diskriminierung, Stigmatisierung und Identitätsdiebstahl, sowie das Vertrauen der Beschäftigten in ihren Arbeitgeber erheblich beeinträchtigen.
Über den Vorfall hinaus bietet dieser Vorgang aber auch einige Ansatzpunkte für andere Unternehmen, die ihre eigene Handlung wieder mal reflektieren können:
- E-Mail-Kommunikation überdenken: Sensible datenschutzrechtliche Informationen wie hier im Zusammenhang mit Beschäftigten sollten grundsätzlich nicht über große E-Mail-Verteiler (oder WhatsApp-Gruppen) kommuniziert werden. Vertraulichkeit ist oberstes Gebot. Deshalb stellen Sie sicher, dass immer nur die notwendigen Personen Zugang zu diesen Informationen haben.
- Datenschutz-Schulungen: Regelmäßige Schulungen für Mitarbeiter und Führungskräfte sind wichtig, um das Bewusstsein für Datenschutz immer wieder zu schärfen und sicherzustellen, dass alle gesetzlichen Vorgaben eingehalten werden.
- Interne Regelungen einhalten: Unternehmen müssen sicherstellen, dass bestehende interne Regelungen z.B. zur Anzeige- und Nachweispflicht von Krankmeldungen strikt eingehalten werden. Der einzige Zweck von Datenschutz-Richtlinien ist, dass sie eingehalten werden! Abweichungen sollten nur nach sorgfältiger Prüfung und unter Einhaltung der Datenschutzvorschriften vorgenommen werden.
- Regelmäßige Überprüfungen: Technische und organisatorische Maßnahmen zum Datenschutz, insbesondere in den Prozessen, in denen sensible personenbezogene Daten verarbeitet werden, sollten regelmäßig überprüft und bei Bedarf angepasst werden, um durchgehend ein hohes Schutzniveau zu gewährleisten.
Fazit
Der Hamburger Fall zeigt eindrucksvoll, wie wichtig der Schutz von Gesundheitsdaten im Arbeitsumfeld ist und welche Konsequenzen Verstöße gegen die DSGVO haben können. Unternehmen müssen sich ihrer Verantwortung bewusst sein und geeignete Maßnahmen ergreifen, um die Privatsphäre und Sicherheit ihrer Mitarbeiter zu schützen. Durch die Einhaltung der Datenschutzvorschriften können Unternehmen nicht nur Bußgelder vermeiden, sondern auch das Vertrauen und die Zufriedenheit ihrer Beschäftigten stärken.