Im April 2009 hatten Medien berichtet, dass bei der Unternehmensgruppe Müller in Ulm mit den Beschäftigten Krankenrückkehrgespräche geführt würden. Die Vorgesetzten würden sich dabei auch nach den Krankheitsgründen erkundigen und diese auf einem Formular festhalten.

Die Aufsichtsbehörde hat daraufhin eine datenschutzrechtliche Überprüfung eingeleitet, die kurz vor Weihnachten abgeschlossen wurde. Diese bestätigte die Berichte in den Medien. Tatsächlich werden bei den zwölf Einzelunternehmen der Unternehmensgruppe Müller mit fast 20.000 Beschäftigten mindestens seit dem Jahr 2006 mit den Mitarbeitern nach der Rückkehr aus dem Krankenstand Gespräche geführt, bei denen bis April 2009 teilweise auch nach dem Grund für die Erkrankung gefragt wurde, sofern die Mitarbeiter diesen nicht von sich aus mitteilten. Das Ergebnis der Gespräche hielten die Vorgesetzten formularmäßig fest. In etwa der Hälfte der Gesprächsprotokolle wurde die Krankheitsursache angegeben. Die Einzelunternehmen leiteten die Protokolle der Personalabteilung der Firma Müller Ltd. & Co. KG zu, die die Personalakten für die gesamte Unternehmensgruppe elektronisch führt. Dort wurden diese Aufschriebe gescannt. Bis April 2009 wurden so rund 24.000 Datensätze mit Krankheitsgründen in den Personalakten gespeichert. Die Personalakten sind nicht automatisiert auswertbar.

Die Aufsichtsbehörde hat diesen Sachverhalt wie folgt bewertet:

1. Zwar ist es grundsätzlich zulässig, dass der Arbeitgeber mit den Mitarbeitern nach krankheitsbedingter Abwesenheit ein Rückkehrgespräch führt beziehungsweise führen lässt. Dabei darf nach dem Grund der Erkrankung aber nur gefragt werden, wenn der Arbeitgeber diesen unbedingt kennen muss, um zu beurteilen, ob von einem Mitarbeiter eine Ansteckungsgefahr ausgeht, wenn es gilt, Gefahren zu beseitigen, die zur Erkrankung von Mitarbeitern geführt haben, um festzustellen, ob ein Arbeitnehmer noch den Anforderungen seines Arbeitsplatzes gewachsen ist beziehungsweise um ihm eine leidensgerechte Arbeit zuweisen zu können oder um ihm gesundheitliche Wiedereingliederungsmaßnahmen anzubieten. Die Auswertung zahlreicher Protokolle über die in der Unternehmensgruppe Müller geführten Krankenrückkehrgespräche hat gezeigt, dass solche Gründe so gut wie nie vorgelegen haben. Die Datenerhebung war daher zumindest teilweise rechtswidrig.
2. Die Mitarbeiter wurden zu Beginn der Krankenrückkehrgespräche nicht datenschutzrechtlich belehrt. Der Vorgesetzte hätte ihnen sagen müssen, zu welchen Angaben sie verpflichtet sind und welche sie in ihrem eigenen Interesse machen sollten. Auch hätten sie darauf hingewiesen werden müssen, was mit diesen Erkenntnissen geschieht.
3. Unabhängig davon, ob der Grund der Erkrankung bei den Mitarbeitern zu Recht erhoben oder von diesen ungefragt offenbart wurde, war es in keinem Fall erforderlich, diesen für die oben genannten Zwecke formularmäßig festzuhalten, die Gesprächsprotokolle an die Personalabteilung weiterzuleiten und den Krankheitsgrund in elektronisch geführten Personalakten für längere Zeit zu speichern. Diese Datenverarbeitung war rechtswidrig; die Speicherung von Krankheitsgründen in Personalakten stellt einen erheblichen datenschutzrechtlichen Verstoß dar. Darüber hinaus hätten die Einzelunternehmen die Protokolle nicht ohne detaillierte schriftliche Vereinbarungen mit der Firma Müller Ltd. & Co. KG an die Personalabteilung weiterleiten dürfen.
4. Bei den Einzelunternehmen der Unternehmensgruppe Müller werden teilweise bereits seit dem Jahr 1985 personenbezogene Daten automatisiert verarbeitet. Zumindest bei neun Firmen waren so viele Mitarbeiter mit der Verarbeitung von personenbezogenen Daten betraut, dass unmittelbar nach Aufnahme der Datenverarbeitung ein Datenschutzbeauftragter hätte bestellt werden müssen, was nicht geschah.

Die Unternehmensgruppe Müller hat die Erhebung und Speicherung von Krankheitsgründen im April 2009 eingestellt und einen betrieblichen Datenschutzbeauftragten für alle Unternehmen bestellt. Sie hat konstruktiv an der Aufklärung des Sachverhalts mitgewirkt und sich einsichtig gezeigt, dass die dargestellte Verfahrensweise gegen Datenschutzrecht verstößt und beanstandet werden musste. Sie hat zugesagt, künftig datenschutzkonform zu verfahren und die zu Unrecht in den Personalakten gespeicherten Daten zu löschen.

Gleichwohl kam die Datenschutzaufsichtsbehörde nicht umhin, wegen der unzulässigen Speicherung von Gesundheitsdaten der Mitarbeiter in Personalakten und der Nichtbestellung eines betrieblichen Datenschutzbeauftragten gegen die beiden größten Einzelfirmen der Unternehmensgruppe Müller, die Müller Ltd. & Co. KG und die MH Müller Handels GmbH, Bußgeldbescheide in einer Gesamthöhe von 137.500,00 Euro zu erlassen. Diese sind inzwischen bestandskräftig.

Quelle: Pressemitteilung der Datenschutz-Aufsichtsbehörde Baden-Würrtemberg v. 11.01.2010