Wer sich beim Humboldt Forum in Berlin nach offenen Stellen umschaut, dem wird ein „kreatives und abwechslungsreiches Arbeitsumfeld“ versprochen. Dass es in diesem Arbeitsumfeld in der Vergangenheit auch zu massiven Verstößen beim Datenschutz kam, hat die Berliner Datenschutzbeauftragte, Meike Kamp, am vergangenen Mittwoch offiziell bestätigt und sanktioniert.
Wie bereits im Mai 2021 bekannt wurde (Paywall), sammelte die Humboldt Forum Service GmbH, eine Tochterfirma der Stiftung Humboldt Forum, sensible Daten über ihre Angestellten in der Probezeit. Dabei wurde unter anderem festgehalten, wenn sich Angestellte einer Psychotherapie unterzogen oder daran interessiert zeigten, einen Betriebsrat zu gründen.
Unter anderem wegen dieser Negativliste hat die Berliner Datenschutzbeauftragte nun Bußgelder in Höhe von insgesamt 215.000 Euro (pdf) gegen das Unternehmen verhängt.
Massive Verstöße gegen Datenschutz
Laut Kamp hatte eine Vorgesetzte die sensiblen Informationen ohne Wissen der Angestellten gesammelt. Damit habe sie bewerten wollen, wem nach der Probezeit gekündigt wird. Angestellte, die sich gewerkschaftlich organisieren wollten oder ein erhöhtes Risiko für krankheitsbedingte Ausfälle aufwiesen, wurden hinsichtlich einer Weiterbeschäftigung als „kritisch“ oder „sehr kritisch“ eingestuft.
Die Negativliste war im März 2021 offenbar auf Weisung der Geschäftsführung der Humboldt Forum Service GmbH angelegt worden. Eine Betroffene wandte sich daraufhin an die Presse und die Berliner Datenschutzbeauftragte. Als der Spiegel über die Situation berichtete, meldete sich das Unternehmen noch am gleichen Tag bei der Datenschutzbeauftragten. Die Kooperation der Humboldt Forum Service GmbH habe sich mindernd auf die Höhe des Bußgelds ausgewirkt, so Kamp.
Sensible Daten verdienen besonderen Schutz
In ihrer Untersuchung kam die Datenschutzbeauftragte zu dem Schluss, dass die Verarbeitung der erhobenen Daten rechtswidrig ist. „Die Erhebung, Speicherung und Verwendung von Beschäftigtendaten müssen stets im zulässigen Zusammenhang mit dem Beschäftigungsverhältnis erfolgen“, so Kamp. „Insbesondere Gesundheitsdaten sind besonders sensitive Informationen, die nur in engen Grenzen verarbeitet werden dürfen.“
Die Datenschutzgrundverordnung (DSGVO) enthält eine Liste mit „besonderen Kategorien personenbezogener Daten“, die nur in Ausnahmefällen gesammelt und verarbeitet werden dürfen. Dazu zählen neben der Gewerkschaftszugehörigkeit und dem Gesundheitszustand auch Informationen über das Sexualleben, zu politischen Einstellungen und der ethnischen Herkunft.
Update vom 11.08.2023:
Die Humboldt Forum Service GmbH hat in einer Stellungnahme bekanntgegeben, keinen Einspruch gegen die Bußgelder einlegen zu wollen.
Vielleicht ist es nicht unwichtig da zu differenzieren. Im Artikel ist u.a. vom „Humboldt Forum Berlin“ die Rede. Es geht hier aber um die „Die Humboldt Forum Service GmbH (HFS)“.
Die ist lt. Website: „(…) ein hundertprozentiges Tochterunternehmen der Stiftung Humboldt Forum im Berliner Schloss. Die GmbH ist zuständig für wesentliche infrastrukturelle Dienstleistungen zum Betrieb des Humboldt Forums. Hierzu gehören vielfältige Aufgaben im Bereich Besucherservice, Sicherheit und zukünftig auch Reinigung.“
Vielen Dank für den Hinweis. Der Artikel hat die Dachzeile „Humboldt-Forum-Dienstleister“ und im Text heißt es dann konkret „Humboldt Forum Service GmbH, eine Tochterfirma der Stiftung Humboldt Forum“.
Wenn Firmen so etwas tun und dann nach Auffliegen „voll Reue“ mit den Behörden zusammenarbeiten können, um Bußgeldminderung zu bekommen, dann scheinen aktuelle Bußgeldhöhen keine Präventivschutzfunktion zu entfalten, oder?
Mit Verlaub: Das Sammeln von „Sensiblen Informationen“ über Angestellte machen leider fast ALLE FIRMEN in Deutschland…Ist also nichts Neues….Diese besonders sensiblen Informationen über den Gesundheitszustand werden zb auch von den Krankenkassen weitergegeben…Um diese über Umwegen zu Geld zu machen…..Also nochmal: Was die da in dem HumbugForum machen ist leider die Regel..
Nur mal so: Sehr ,sehr viele Webseiten nutzen Spionage bzw Analysewerkzeuge von Google. Damit werden Daten wie IP Adresse ;Macadresse (Die es eigentlich nur EINMAL Weltweit gibt) gesammelt um ein PROFIL der Seitenbesucher zu erstellen. Diese Daten werden also in die USA gesandt…Das gilt im Besondere für die privaten US Amerikanischen Werbeportale wie FB;X; etc die mit den Daten der erschreckend Naiven Nutzern MILLIARDEN verdienen…