de en
Nexia Ebner Stolz

Rechtsberatung

Rekordbußgeld wegen Verstößen gegen Arbeitnehmerdatenschutz

Am 1.10.2020 hat der Ham­bur­gi­sche Be­auf­tragte für Da­ten­schutz und In­for­ma­ti­ons­frei­heit we­gen der Über­wa­chung von meh­re­ren hun­dert Mit­ar­bei­tern des H&M Ser­vice­cen­ters in Nürn­berg durch die Cen­ter-Lei­tung ein Bußgeld in Höhe von 35.3 Mio. Euro verhängt.

Nie zu­vor hat es in Deutsch­land bis­lang eine höhere Geldbuße we­gen des Ver­stoßes ge­gen den Ar­beit­neh­mer-Da­ten­schutz ge­ge­ben!

© Adobe Stock

Massiver Datenschutzverstoß durch umfassende Arbeitnehmerüberwachung

Das Un­ter­neh­men hatte seit 2014 bei einem Teil sei­ner Be­schäftig­ten pri­vate Le­bens­umstände in nicht un­er­heb­li­chem Um­fang er­fasst und dau­er­haft ge­spei­chert. Hierzu führ­ten die Führungskräfte bzw. Vor­ge­setz­ten nach Ur­laubs- und Krank­heits­ab­we­sen­hei­ten der Ar­beit­neh­mer – auch kur­zer Art – so­ge­nann­ten „Wel­come Back Talks“ durch. Im An­schluss an diese Ge­spräche wur­den - ohne Kennt­nis und Ein­wil­li­gung der Ar­beit­neh­mer - viel­fach so­wohl kon­krete Ur­laub­ser­leb­nisse der Be­schäftig­ten, als auch Krank­heits­sym­ptome und Dia­gno­sen do­ku­men­tiert. Darüber hin­aus er­fass­ten ei­nige Vor­ge­setzte durch Ein­zel- und Flur­ge­spräche auch ge­zielt ver­schie­dene De­tails zum Pri­vat­le­ben der Ar­beit­neh­mer. Diese Da­ten reich­ten von eher harm­lo­sen De­tails über fa­miliäre Pro­bleme bis hin zu re­ligiösen Be­kennt­nis­sen. Auch diese In­for­ma­tio­nen wur­den teil­weise auf­ge­zeich­net, di­gi­tal ge­spei­chert. Die so an­ge­sam­mel­ten Da­ten wa­ren über ein Netz­lauf­werk für zahl­rei­che an­dere (ca. 50) Führungskräfte im Un­ter­neh­men ab­ruf­bar. Die Auf­zeich­nun­gen wur­den mit einem ho­hen De­tail­grad vor­ge­nom­men und re­gelmäßig fort­ge­schrie­ben. Die so er­ho­be­nen Da­ten wur­den ne­ben ei­ner akri­bi­schen Aus­wer­tung der in­di­vi­du­el­len Ar­beits­leis­tung u.a. ge­nutzt, um ein Pro­fil der Be­schäftig­ten für Maßnah­men zu er­hal­ten und Ent­schei­dun­gen im Ar­beits­verhält­nis zu tref­fen.

Die Da­ten­er­he­bung wurde da­durch be­kannt, dass die No­ti­zen in­folge ei­nes Kon­fi­gu­ra­ti­ons­feh­lers im Ok­to­ber 2019 für ei­nige Stun­den un­ter­neh­mens­weit ab­ruf­bar wa­ren. Da­durch er­langte der Ham­bur­gi­sche Be­auf­tragte für Da­ten­schutz und In­for­ma­ti­ons­frei­heit Kennt­nis über die Da­ten­samm­lung und ord­nete zunächst an, den In­halt des Netz­lauf­werks vollständig „ein­zu­frie­ren“ bzw. an die Behörde her­aus­zu­ge­ben.

Abhilfemaßnahmen und Rekord-Bußgeld

So­fort nach Be­kannt­wer­den der Da­ten­schutz­verstöße er­griff das Un­ter­neh­men ver­schie­dene Ab­hil­femaßnah­men: So wurde ein um­fas­sen­des Kon­zept vor­ge­legt, wie der Da­ten­schutz per so­fort rich­tig um­ge­setzt wer­den solle. Zu­dem hat sich die Un­ter­neh­mens­lei­tung ausdrück­lich bei den Be­trof­fe­nen ent­schul­digt und ist auch der An­re­gung nach­ge­kom­men, den Be­schäftig­ten einen unbüro­kra­ti­schen Scha­den­er­satz in be­acht­li­cher Höhe aus­zu­zah­len. Es han­delt sich in­so­weit um ein bis­lang bei­spiel­lo­ses Be­kennt­nis zur Un­ter­neh­mens­ver­ant­wor­tung nach einem Da­ten­schutz­ver­stoß.

Das neu ein­geführte Da­ten­schutz­kon­zept sieht un­ter an­de­rem einen neu be­ru­fe­nen Da­ten­schutz­ko­or­di­na­tor, mo­nat­li­che Da­ten­schutz-Sta­tu­sup­dates, einen verstärkt kom­mu­ni­zier­ten Whist­leb­lo­wer-Schutz so­wie ein kon­sis­ten­tes Aus­kunfts-Kon­zept vor.

Der Ham­bur­gi­sche Be­auf­tragte für Da­ten­schutz und In­for­ma­ti­ons­frei­heit wer­tete das Bemühen der Kon­zern­lei­tung ausdrück­lich po­si­tiv, die Be­trof­fe­nen vor Ort zu ent­schädi­gen und das Ver­trauen in das Un­ter­neh­men als Ar­beit­ge­ber wie­der­her­zu­stel­len. Die trans­pa­rente Aufklärung und die Gewähr­leis­tung ei­ner fi­nan­zi­el­len Kom­pen­sa­tion würden durch­aus den Wil­len zei­gen, den Be­trof­fe­nen den Re­spekt und die Wert­schätzung zu­kom­men zu las­sen, die sie als abhängig Be­schäftigte in ih­rem tägli­chen Ein­satz für ihr Un­ter­neh­men ver­die­nen.

Je­doch be­wer­tete er die Kom­bi­na­tion aus der Aus­for­schung des Pri­vat­le­bens und der lau­fen­den Er­fas­sung, wel­cher Tätig­keit die Ar­beit­neh­mer je­weils nach­gin­gen, als be­son­ders in­ten­si­ven Ein­griff in die Rechte der Be­trof­fe­nen und verhängte trotz der so­fort er­grif­fe­nen Ab­hil­femaßnah­men ein Re­kord-Bußgeld in Höhe von 35,3 Mio. Euro. Dies wurde da­mit begründet, dass es sich um eine schwere Miss­ach­tung des Be­schäftig­ten­da­ten­schut­zes han­delte. Das verhängte Bußgeld sei in sei­ner Höhe an­ge­mes­sen und ge­eig­net, Un­ter­neh­men von Ver­let­zun­gen der Pri­vat­sphäre ih­rer Be­schäftig­ten ab­zu­schre­cken.

Die Bedeutung des (Arbeitnehmer-)Datenschutzes steigt - Die Sanktionen unter der DSGVO ziehen an 

Die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Da­ten be­darf da­ten­schutz­recht­lich stets ei­ner Rechts­grund­lage, sonst ist sie un­zulässig. Im Ar­beits­recht ist die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Da­ten nur zulässig, wenn diese für die Durchführung des Ar­beits­verhält­nis­ses er­for­der­lich sind - oder ggf. dann, wenn es um die Aufklärung ei­ner im Ar­beits­verhält­nis be­gan­ge­nen Straf­tat ei­nes Be­schäftig­ten geht (§ 26 BDSG). Dem­ge­genüber ist das Spei­chern be­son­ders sen­si­bler Da­ten, wie bei­spiels­weise Ge­sund­heits­da­ten, ohne kon­kre­ten An­lass und ohne In­for­ma­tion des Ar­beit­neh­mers stets un­zulässig. Glei­ches gilt für Ur­laub und fa­miliäre Pro­bleme.

Der Sach­ver­halt macht deut­lich, dass sich die Be­deu­tung des Da­ten­schut­zes in den letz­ten zehn bis zwölf Jah­ren mas­siv geändert hat. Während bei ähn­lich großen Un­ter­neh­men Ende der 2000er Jahre für ver­gleich­bare Verstöße (da­mals wur­den bspw. De­tek­teien mit der „Über­wa­chung“ des Pri­vat­le­bens der Ar­beit­neh­mer be­auf­tragt) noch Bußgeld­beträge von bis zu 1.5 Mio. Euro verhängt wur­den, hat sich der Bußgel­drah­men nun mit der DS­GVO dra­ma­ti­sch erhöht. Un­ter­neh­men soll­ten da­her berück­sich­ti­gen, dass nach der DS­GVO im­mens hohe Bußgelder zur Scha­dens­kom­pen­sa­tion oder der Ge­winn­ab­schöpfung, aber auch zur Ab­schre­ckung, verhängt wer­den können. Die un­ter­neh­mens­in­ter­nen da­ten­schutz­re­le­van­ten ope­ra­ti­ven Pro­zesse - ggf. auch durch ex­terne Be­ra­ter - kri­ti­sch überprüfen zu las­sen, kann da­her im wahrs­ten Sinne des Wor­tes „loh­nens­wert“ sein.

nach oben