Datenschutz-Bußgeld wegen Verwendung des Bradford Faktors

Date: 27.01.2020

Grund für das Datenschutz-Bußgeld: Verwendung des Bradford Faktors verstößt gegen DSGVO

Der Datenschutzbeauftragte Zyperns verhängte eine Geldstrafe in Höhe von insgesamt 82.000,00 Euro gegen LGS Handling Ltd, Louis Travel Ltd und Louis Aviation Ltd (Louis Group of Companies) wegen der fehlenden Rechtsgrundlage für die Verarbeitung mittels des „Bradford Factor“-Tools, welches für die Bewertung von Krankenständen von Mitarbeitern verwendet wird.

Die Untersuchung wurde eingeleitet, nachdem die Gewerkschaft der betroffenen Beschäftigten eine Beschwerde eingereicht hatte.

Das Datum und die Häufigkeit einer durch Krankheit bedingten Ausfallzeit einer Person, führen, sofern ihre Identität direkt oder indirekt bekannt gegeben wird, zur Verarbeitung „besonderer Kategorien personenbezogener Daten“, wie sie in Article 9, first paragraph of the GDPR are defined.

The provision personal data an ein automatisiertes System, die Bewertung der Daten mit Hilfe des „Bradford-Faktors“ und die Erstellung von Profilen von Personen auf der Grundlage der Ergebnisse wird als Verarbeitung personenbezogener Daten betrachtet; daher muss eine solche Verarbeitung im Einklang mit den Grundsätzen der GDPR stand.

Der für die Verarbeitung Verantwortliche führte eine Datenschutz-Folgenabschätzung der Verarbeitung durch, die der Aufsichtsbehörde während der Untersuchung zur Konsultation vorgelegt wurde. Diese war der Meinung, dass der für die Verarbeitung Verantwortliche durch die Datenschutz-Folgenabschätzung nicht nachweisen konnte, dass sein legitimes Interesse Vorrang vor den Interessen, Rechten und Freiheiten seiner Mitarbeiter hat und dass folglich die Risikominderung nicht angemessen war.

Im Verlauf der Untersuchung machten die Europäische Datenschutzaufsichtsbehörde von der Möglichkeit Gebrauch, über das so genannte Amtshilfeverfahren Rechtsfragen an die anderen EEA-Vertragsstaaten zu richten und erhielt Beiträge von 25 Behörden. Die eingegangenen Antworten bestätigten das Fehlen einer rechtlichen Grundlage für die genannte Verarbeitung und betonten die Notwendigkeit, derartige Angelegenheiten mit spezifischen Regeln in Übereinstimmung mit Article 88 of the GDPR.

Der für die Verarbeitung Verantwortliche hatte als Arbeitgeber das Recht, die Häufigkeit von Krankheitsfällen und die Gültigkeit von Krankheitsbescheinigungen zu überwachen. Eine solche Vorgabe sollte jedoch nicht zu einer unsachgemäßen Behandlung der Angestellten führen.

Nachdem die Ausichtsbhörde den Verstoß feststellte, wurde der für die Verarbeitung Verantwortlichen angewiesen die Verarbeitung zu unterbrechen und alle gesammelten Daten zu löschen. Darüber hinaus wurde im Zusammenhang mit den Verstößen gegen Article 6, first paragraph and the Article 9 der DSGVO eine Geldbuße in Höhe von 70.000 Euro gegen LGS Handling Ltd., eine Geldbuße in Höhe von 10.000 Euro gegen Louis Travel Ltd. und eine Geldbuße in Höhe von 2.000 Euro gegen Louis Aviation Ltd. verhängt.

Bei der Entscheidung über die Höhe der Verwaltungsstrafen wurden die Anzahl der betroffenen Personen (insgesamt 818 Mitarbeiter), die Art und Dauer der Verstöße sowie der jeweilige Umsatz der Unternehmen berücksichtigt.

Höhe des Datenschutz-Bußgeldes: 82,000 euros

Country: Cyprus

Source: Europäischer Datenschutzausschuss

Zurück zur Übersicht der Datenpannen