Drogeriekette wegen Datenschutzverstoßes bestraft

Die baden-württembergische Aufsichtsbehörde für den Datenschutz im nichtöffentlichen Bereich hat der Drogeriekette Müller eine Strafe in Gesamthöhe von 137.500 Euro wegen rechtswidriger Erhebung und Verknüpfung von Gesundheitsdaten auferlegt. Das dem Landesinnenministerium zugeordnete Amt hatte Medienberichte vom Frühjahr 2009 über Befragungen von Mitarbeitern nach krankheitsbedingten Ausfällen zum Anlass genommen, eine datenschutzrechtliche Überprüfung der in Ulm ansässigen Unternehmensgruppe durchzuführen. Dabei förderte es diverse Datenschutzverstöße bei den zwölf Einzelunternehmen des Konzerns zu Tage und erließ daraufhin mehrere Bußgeldbescheide.

Laut der Aufsichtsbehörde werden bei der Unternehmensgruppe, die insgesamt fast 20.000 Mitarbeiter hat, spätestens seit 2006 mit den Beschäftigten Gespräche nach der Rückkehr aus dem Krankenstand geführt. Dabei seien bis zum Bekanntwerden der Praxis im April vergangenen Jahres auch Gründe für den Ausfall abgefragt, sofern Mitarbeiter diese nicht von sich aus mitteilten. Die Ergebnisse hätten die Vorgesetzten in Formularen festgehalten und an die Personalabteilung weitergeleitet. Diese habe die Eingaben gescannt und mit den Personalakten elektronisch gespeichert. Dabei seien rund 24.000 Datensätze mit Krankheitsinformationen zusammengekommen.

Die Gespräche an sich seien zwar grundsätzlich zulässig, bewertete die Kontrollinstanz den Vorgang nun. Dabei dürfe nach dem Grund der Erkrankung aber nur in Einzelfällen gefragt werden. Gestattet sei dies etwa, wenn der Arbeitgeber beurteilen müsse, ob von einem Beschäftigten etwa eine Ansteckungsgefahr ausgehe, ob dieser den Anforderungen seines Arbeitsplatzes noch gewachsen sei oder ob es allgemeine Gefahren zu beseitigen gelten. Die Auswertung zahlreicher Protokolle habe aber gezeigt, dass diese Gründe so gut wie nie vorgelegen hätten. Die Erhebung der Gesundheitsdaten sei daher "zumindest teilweise rechtswidrig" gewesen.

Die Behörde moniert weiter, dass die Mitarbeiter datenschutzrechtlich hätten belehrt werden müssen. Zudem sei es "in keinem Fall" erforderlich gewesen, die Krankheitsursachen festzuhalten und zu speichern. Diese Datenverarbeitung stelle einen "erheblichen Verstoß" dar. Letztlich seien bei zumindest neun Unterfirmen der Gruppe so viele Mitarbeiter mit der Verarbeitung von personenbezogenen Daten betraut, dass unmittelbar nach Aufnahme der Praxis der Informationssammlung über die Beschäftigten ein Datenschutzbeauftragter hätte bestellt werden müssen. Dies sei aber erst im April 2009 erfolgt. Zugute hielten die Prüfer der Drogeriekette, dass sie sich einsichtig gezeigt hätte und die Bußgeldbescheide akzeptiert habe.

Im vergangenen Jahr war unter anderem auch der Autobauer Daimler wegen illegaler Speicherung von Krankendaten von Mitarbeitern in die Kritik geraten. Seit Jahren verlangt der Konzern von Bewerbern unter anderem auch Blutproben. Die mit dem Fall Müller betraute Datenschutzbehörde prüft auch hier derzeit, ob solche Tests zulässig sind. Der Bundestag arbeitet derweil an einer gesetzlichen Verbesserung des Arbeitnehmer-Datenschutzes. Dabei haben die schwarz-gelbe Regierungskoalition und die Opposition unterschiedliche Auffassungen. Einer der Knackpunkte ist neben dem Umfang der Schutzvorkehrungen die Frage, ob entsprechende Regelungen im Rahmen des Bundesdatenschutzgesetzes oder in einem eigenständigen Normenwerk getroffen werden sollen. (vbr)