Die französische Datenschutzaufsichtsbehörde, die Commission Nationale de l’Informatique et des Libertés (CNIL), hat ein Bußgeld in Höhe von 400.000 Euro gegen den staatlichen Betreiber des öffentlichen Personennahverkehrs in Paris, die Régie autonome des transports Parisiens (RATP,) verhängt.
Grund dafür war unter anderem die an drei Standorten der RATP festgestellte Praxis, bei Mitarbeitern, die vor einer möglichen Beförderung standen, in den jeweiligen Unterlagen neben der Anzahl der Abwesenheitstage auch die Anzahl der Streiktage gesondert aufzuführen. Nach Ansicht der CNIL war die Angabe der Anzahl der Streiktage nicht erforderlich, um über die Beförderung zu entscheiden, da hierfür die Angabe der Gesamtzahl der Abwesenheitstage ausreichte. Die separate Auflistung der Streiktage stellt daher nach Ansicht der CNIL einen Verstoß gegen den Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) dar.
Bei ihren Kontrollen stellte die CNIL auch Unzulänglichkeiten bei der Datenspeicherung und Mängel bei der Sicherheit der Verarbeitung fest. In Bezug auf die Speicherung von Personaldaten stellte die CNIL fest, dass die Daten mitunter länger gespeichert wurden, als für die Erreichung des beabsichtigten Zwecks erforderlich war: So bewahrte die RATP die Unterlagen zur Personalbeurteilung im Rahmen des Beförderungsverfahrens mehr als drei Jahre auf, obwohl diese nur 18 Monate aufbewahrt werden mussten. Nach Ansicht der CNIL stellt dies einen Verstoß gegen den Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO) dar.
In Bezug auf die Sicherheit der Verarbeitung (Art. 32 DSGVO) stellte die CNIL fest, dass die RATP bei der Datenverarbeitung nicht ausreichend zwischen den Funktionen der Mitarbeiter unterscheide, und bemängelte, dass die jeweils zuständigen Mitarbeiter
- unabhängig von ihrer jeweiligen Funktion Zugang zu allen Datenkategorien hatten (insbesondere Daten der Personalabteilung);
- nicht nur Zugriff auf die Daten ihres Standorts hatten, sondern auch auf die Daten aller anderen Standorte der RATP;
- die Daten der gesamten Datenbank exportieren konnten.
Die Entscheidung der CNIL unterstreicht einmal mehr die besondere Bedeutung des Datenschutzes im Arbeitsverhältnis und zeigt, dass die europäischen Datenschutzaufsichtsbehörden gerade im Hinblick auf die Grundsätze der Verarbeitung personenbezogener Daten mittlerweile strenge Maßstäbe anlegen.
zurück