Die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens) hat ein niederländisches Unternehmen wegen der Verarbeitung von Gesundheitsdaten kranker Mitarbeiter und unzureichender Sicherheitsmaßnahmen mit einer Geldstrafe von 15.000 Euro belegt.
Registrierung besonderer persönlicher Daten
Das Unternehmen CP&A führte zwar Krankenakten, zeichnete aber hochsensible Informationen über die physische und/oder psychische Gesundheit der Mitarbeiter auf. Dazu gehörten die Namen von Krankheiten, spezifische Beschwerden und Hinweise auf Schmerzen. Diese sensiblen Informationen sind für die Wiedereingliederung der Mitarbeiter nach deren Abwesenheit nicht notwendig. Das Unternehmen durfte diese Daten daher nicht registrieren.
Gesundheitsdaten fallen unter die sogenannten "besonderen personenbezogenen Daten". Diese Kategorie personenbezogener Daten umfasst sensible Daten wie die Rasse, Religion oder Gesundheit einer Person. Diese Daten werden vom Gesetzgeber besonders geschützt. Nach dem Datenschutzgesetz darf ein Arbeitgeber keine Informationen über die Art und Ursache der Krankheit einer Person registrieren. Ein Arbeitsschutzdienst oder Betriebsarzt kann diese Informationen verlangen, ein Arbeitgeber jedoch nicht.
Die Verarbeitung besonderer personenbezogener Daten ist untersagt, es sei denn, es liegt eine gesetzliche Ausnahme vor, z. B. zum Schutz lebenswichtiger Interessen der betroffenen Person. So kann ein Arbeitgeber beispielsweise registrieren, dass ein Mitarbeiter Epilepsie hat, und die Kollegen informieren, damit sie wissen, was zu tun ist, wenn diese Person einen epileptischen Anfall hat.
Registrierung unsicher
Außerdem war die fehlende Registrierung von CP&A unsicher. Sie war online und ohne Authentifizierung zugänglich. Für Gesundheitsdaten gelten besonders strenge Sicherheitsanforderungen. Nur autorisierte Mitarbeiter dürfen die Daten einsehen. Und wenn ein Abwesenheitssystem über das Internet zugänglich ist, muss der Zugriff durch eine Multi-Faktor-Authentifizierung gesichert werden.
Fein
Das Grundbußgeld für die beiden Verstöße beträgt über 1 Million Euro (725.000 bzw. 310.000 Euro). Die niederländische Datenschutzbehörde hat jedoch die Zahlungsfähigkeit des Unternehmens berücksichtigt. Und die Höhe des Bußgeldes auf 15.000 Euro festgelegt.
Quellen: