Die griechische Datenschutzaufsicht (HDPA) verhängte gegenüber einem Universitätskrankenhaus ein Bußgeld von insgesamt 7.000 Euro. Anlass war der Umgang mit Leistungsdaten eines angestellten Arztes, die ohne transparente Information zu Vergleichszwecken verarbeitet und schließlich zur Begründung einer belastenden Personalmaßnahme herangezogen wurden. Der Fall zeigt eindrücklich, wie schnell die Grundsätze des Art. 5 DSGVO verletzt werden können, wenn Zweckbindung und Transparenz nicht konsequent beachtet werden.
Hintergrund des Bußgelds
Ein Arzt eines Universitätskrankenhauses in Griechenland wandte sich an die Aufsichtsbehörde, nachdem er erfahren hatte, dass sein Klinikdirektor Daten zu seinen Arbeitsleistungen erhoben und in drei Tabellen ausgewertet hatte. Erfasst wurden unter anderem Prozedurdauer, Materialverbrauch und Überstunden im Zeitraum von 2020 bis 2021. Diese Informationen wurden nicht nur statistisch aufbereitet, sondern namentlich vergleichend den Leistungen anderer Ärzte gegenübergestellt. Die Tabellen wurden anschließend in einem Rundschreiben an mehrere Stellen innerhalb des Hauses sowie an die regionale Gesundheitsbehörde weitergegeben. Auf dieser Grundlage wurde der Arzt faktisch vom Laborbetrieb ausgeschlossen. Als der Betroffene später Auskunft nach Art. 15 DSGVO verlangte, erhielt er keine Antwort.
Im Verlauf der Untersuchung argumentierte das Krankenhaus, dass es sich bei den verarbeiteten Informationen lediglich um „statistische Daten“ handele, die nicht auf eine bestimmte Person bezogen seien.
Die HDPA stellte zunächst klar, dass die Tabellen eindeutig personenbezogene Daten darstellen, da sie namentlich mit Aussagen über die Arbeitsleistung des Arztes verbunden waren. Die HDPA stellte darüber hinaus gravierende Verstöße gegen die Grundsätze der Verarbeitung (Art. 5 DSGVO) fest. Insbesondere mangelte es an Transparenz, Zweckbindung und Richtigkeit der Daten.
Die Verarbeitung war nicht mehr vom ursprünglichen Zweck – etwa Gerätebetrieb oder Kostenkontrolle – gedeckt. Vielmehr wurden die Daten zweckändernd für eine Leistungsbewertung genutzt, ohne dass eine entsprechende Information oder Begründung erfolgt war. Die Ärzte waren nicht darüber informiert worden, dass ihre Daten in dieser Form ausgewertet und in Vergleichstabellen überführt werden. Die pauschale Information, dass Daten im Laborbetrieb erhoben würden, reichte laut HDPA nicht aus. Zudem fehlten klar definierte Aufbewahrungsfristen; stattdessen war die Speicherung „solange der Direktor es für notwendig erachtet“ vorgesehen. Dies widersprach dem Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO). Auch Zweifel an der Richtigkeit der Daten – etwa bei der Zuordnung von Überstunden – führten zu einem weiteren Grundsatzverstoß (Art. 5 Abs. 1 lit. d DSGVO).
Die Aufsichtsbehörde (HDPA) musste in diesem Fall gar nicht mehr im Detail prüfen, ob das Krankenhaus eine Rechtsgrundlage nach Art. 6 DSGVO hatte. Sie stellte so gravierende Verstöße gegen die Grundsätze der Verarbeitung nach Art. 5 DSGVO fest (fehlende Transparenz, Zweckbindung, Richtigkeit), dass die gesamte Verarbeitung bereits als unrechtmäßig eingestuft werden konnte.
Gleichzeitig stellte die Behörde klar: Das Argument des Krankenhauses, man könne sich hier auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f DSGVO stützen, greift nicht. Denn öffentliche Stellen, wie ein Universitätskrankenhaus, dürfen ihre Datenverarbeitung nicht auf ein berechtigtes Interesse stützen, wenn sie im Rahmen der Erfüllung öffentlicher Aufgaben handeln. Stattdessen ist für sie regelmäßig Art. 6 Abs. 1 lit. e DSGVO einschlägig, also die Verarbeitung zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt. Je nach Kontext können auch gesetzliche Verpflichtungen nach Art. 6 Abs. 1 lit. c DSGVO Rechtsgrundlage sein oder es müssen zusätzlich, z.B. bei Gesundheits- und Beschäftigtendaten, die speziellen Ausnahmetatbestände des Art. 9 Abs. 2 DSGVO herangezogen werden. Damit wird deutlich: Öffentliche Einrichtungen können ihre Spielräume nicht beliebig ausweiten, sondern müssen sich eng an die ihnen zugewiesenen Rechtsgrundlagen halten.
Zusätzlich stellte die Behörde fest, dass das Krankenhaus nur unzureichend mit ihr kooperierte. Damit lag auch ein Verstoß gegen Art. 31 DSGVO vor, wonach Verantwortliche verpflichtet sind, die Aufsichtsbehörde bei der Erfüllung ihrer Aufgaben zu unterstützen.
Insgesamt ahndete die HDPA die Verstöße mit einem Bußgeld von 7.000 Euro, aufgeteilt in:
- 4.000 Euro wegen Verstößen gegen die Grundsätze der Verarbeitung (Art. 5 DSGVO),
- 1.500 Euro wegen Verletzung der Informationspflichten (Art. 14 DSGVO),
- 1.500 Euro wegen Nichtbeantwortung des Auskunftsersuchens (Art. 15 DSGVO).
Darüber hinaus erging eine förmliche Verwarnung wegen der unzureichenden Kooperation mit der Behörde (Art. 31 DSGVO).
DSGVO-Bußgelder vermeiden
Wir analysieren regelmäßig von den Aufsichtsbehörden verhängte DSGVO-Bußgelder und erklären Ihnen, wie Sie diese effektiv vermeiden!
Datenschutzrechtliche Einschätzung
Der Fall des Universitätskrankenhauses macht deutlich, welche Folgen es für einen Verantwortlichen haben kann, wenn grundlegende Prinzipien der DSGVO bei der Verarbeitung von Beschäftigtendaten außer Acht gelassen werden. Im Kern ging es um die systematische Erhebung und Nutzung von Daten über die Arbeitsweise einzelner Ärzte, ohne dass diese hiervon informiert wurden. Die Aufsichtsbehörde stellte klar, dass bereits diese fehlende Transparenz und Zweckbindung einen massiven Verstoß gegen Art. 5 DSGVO darstellt.
Das Verfahren gegen das Universitätskrankenhaus verdeutlicht zudem, wie eng die Grenzen für den Umgang mit Beschäftigtendaten gezogen sind. Wer versucht, sensible Leistungs- oder Verhaltensdaten, als „statistisch“ zu deklarieren und sie zweckentfremdet einzusetzen, läuft nicht nur rechtlich, sondern auch reputationsseitig ins offene Messer. Die griechische Aufsichtsbehörde hat unmissverständlich klargestellt: Daten bleiben personenbezogen, solange ein Bezug zu konkreten Beschäftigten möglich ist – selbst, wenn sie in aggregierter Form aufbereitet werden. Damit greift unmittelbar der volle Schutz der DSGVO, inklusive der Grundsätze aus Art. 5, den Transparenzpflichten und den Rechten der Betroffenen.
Tipp: Lesen Sie dazu bei activeMind.legal Rechtsanwälte, wann selbst bei pseudonymisierten Daten die Transparenzpflichten der DSGVO greifen.
Hinzu kam, dass die Rechte des Betroffenen hier in gravierender Weise ignoriert wurden. Ein Mitarbeiter, der Auskunft über die ihn betreffenden Daten verlangte, erhielt schlicht keine Antwort. Dies stellt nicht nur einen klaren Verstoß gegen Art. 12 und 15 DSGVO dar, sondern illustriert ein tiefer liegendes Problem: Die Missachtung von Betroffenenrechten ist regelmäßig ein Indiz für mangelnde interne Strukturen im Datenschutzmanagement. Verstärkt wurde dieser Eindruck dadurch, dass das verantwortliche Krankenhaus auch mit der Aufsichtsbehörde nur zögerlich kooperierte und damit gegen Art. 31 DSGVO verstieß. Solche Verstöße lassen auf tiefgreifende organisatorische Defizite im internen Datenschutzmanagement schließen.
Aus arbeits- und datenschutzrechtlicher Sicht ist der Fall exemplarisch für ein zentrales Risiko. Leistungs- und Verhaltensdaten von Beschäftigten dürfen nicht nebenbei erhoben oder zweckentfremdet weitergenutzt werden. Gerade im Beschäftigungskontext ist die Zweckbindung besonders strikt, da hier ein strukturelles Machtgefälle besteht und Arbeitnehmer in besonderem Maße auf die Wahrung ihrer Rechte angewiesen sind.
Problematisch ist insbesondere die Zweckänderung. Daten, die ursprünglich für einen klar definierten Zweck erhoben wurden – etwa die Planung von Schichten oder die Dokumentation medizinischer Abläufe – dürfen nicht nachträglich für völlig andere Zwecke genutzt werden, zum Beispiel für Leistungs- oder Verhaltenskontrollen. Die DSGVO schreibt in Art. 6 Abs. 4 ausdrücklich vor, dass eine Weiterverarbeitung nur unter engen Voraussetzungen zulässig ist, etwa wenn der neue Zweck mit dem ursprünglichen vereinbar ist. Ansonsten bedarf es einer neuen Rechtsgrundlage. Wird dieser Grundsatz ignoriert, wie im vorliegenden Fall, schlägt dies nicht nur auf einzelne Vorschriften, sondern auf das Fundament des Datenschutzrechts durch.
Als Best Practice gilt daher, dass jede Verarbeitung von Beschäftigtendaten auf eine eindeutige Rechtsgrundlage gestützt und den Betroffenen transparent kommuniziert werden muss. Für Auswertungen zu Leistungs- oder Verhaltensdaten reicht eine allgemeine Zweckangabe nicht aus; vielmehr bedarf es einer klaren Rechtsgrundlage. Werden Daten zu statistischen Zwecken genutzt, ist auf eine echte Anonymisierung zu achten, bei der ein Personenbezug ausgeschlossen ist.
Ebenso unverzichtbar ist ein funktionierendes Datenschutzmanagement, das sicherstellt, dass Betroffenenanfragen fristgerecht beantwortet werden, die Zusammenarbeit mit den Aufsichtsbehörden gewährleistet ist und interne Prozesse den Anforderungen der DSGVO entsprechen. Nur durch diese organisatorische und rechtliche Absicherung können Arbeitgeber verhindern, sowohl in erhebliche rechtliche als auch in schwerwiegende reputationsbezogene Risiken zu geraten.
Fazit
Die Entscheidung der HDPA verdeutlicht in aller Klarheit, dass Datenschutzverstöße nicht nur durch Hackerangriffe oder technische Sicherheitslücken entstehen, sondern häufig durch scheinbar alltägliche Praktiken der Zweckänderung und Intransparenz. Gerade weil solche Vorgehensweisen innerhalb von Organisationen oft verharmlost werden, ist besondere Vorsicht geboten.
Für öffentliche Stellen wie auch private Arbeitgeber ist dieser Fall ein deutliches Lehrstück dafür, dass derartige Praktiken zu erheblichen Bußgeldern führen können, und zwar unabhängig davon, ob die Daten missbräuchlich nach außen gelangt sind.