de en
Nexia Ebner Stolz

Rechtsberatung

Rekordbußgeld wegen Verstößen gegen Arbeitnehmerdatenschutz

Am 1.10.2020 hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit wegen der Überwachung von mehreren hundert Mitarbeitern des H&M Servicecenters in Nürnberg durch die Center-Leitung ein Bußgeld in Höhe von 35.3 Mio. Euro verhängt.

Nie zuvor hat es in Deut­sch­land bis­lang eine höhere Geld­buße wegen des Ver­sto­ßes gegen den Arbeit­neh­mer-Daten­schutz gege­ben!

© Adobe Stock

Mas­si­ver Daten­schutz­ver­stoß durch umfas­sende Arbeit­neh­mer­über­wa­chung

Das Unter­neh­men hatte seit 2014 bei einem Teil sei­ner Beschäf­tig­ten pri­vate Leben­s­um­stände in nicht uner­heb­li­chem Umfang erfasst und dau­er­haft gespei­chert. Hierzu führ­ten die Füh­rungs­kräfte bzw. Vor­ge­setz­ten nach Urlaubs- und Krank­heits­ab­we­sen­hei­ten der Arbeit­neh­mer – auch kur­zer Art – soge­nann­ten „Wel­come Back Talks“ durch. Im Anschluss an diese Gespräche wur­den - ohne Kennt­nis und Ein­wil­li­gung der Arbeit­neh­mer - viel­fach sowohl kon­k­rete Urlaub­s­er­leb­nisse der Beschäf­tig­ten, als auch Krank­heits­symp­tome und Diag­no­sen doku­men­tiert. Dar­über hin­aus erfass­ten einige Vor­ge­setzte durch Ein­zel- und Flur­ge­spräche auch gezielt ver­schie­dene Details zum Pri­vat­le­ben der Arbeit­neh­mer. Diese Daten reich­ten von eher harm­lo­sen Details über fami­liäre Pro­b­leme bis hin zu reli­giö­sen Bekennt­nis­sen. Auch diese Infor­ma­tio­nen wur­den teil­weise auf­ge­zeich­net, digi­tal gespei­chert. Die so ange­sam­mel­ten Daten waren über ein Netz­lauf­werk für zahl­rei­che andere (ca. 50) Füh­rungs­kräfte im Unter­neh­men abruf­bar. Die Auf­zeich­nun­gen wur­den mit einem hohen Detail­grad vor­ge­nom­men und regel­mä­ßig fort­ge­schrie­ben. Die so erho­be­nen Daten wur­den neben einer akri­bi­schen Aus­wer­tung der indi­vi­du­el­len Arbeits­leis­tung u.a. genutzt, um ein Pro­fil der Beschäf­tig­ten für Maß­nah­men zu erhal­ten und Ent­schei­dun­gen im Arbeits­ver­hält­nis zu tref­fen.

Die Daten­er­he­bung wurde dadurch bekannt, dass die Noti­zen infolge eines Kon­fi­gu­ra­ti­ons­feh­lers im Oktober 2019 für einige Stun­den unter­neh­mens­weit abruf­bar waren. Dadurch erlangte der Ham­bur­gi­sche Beauf­tragte für Daten­schutz und Infor­ma­ti­ons­f­rei­heit Kennt­nis über die Daten­samm­lung und ord­nete zunächst an, den Inhalt des Netz­lauf­werks voll­stän­dig „ein­zu­frie­ren“ bzw. an die Behörde her­aus­zu­ge­ben.

Abhil­fe­maß­nah­men und Rekord-Buß­geld

Sofort nach Bekannt­wer­den der Daten­schutz­ver­stöße ergriff das Unter­neh­men ver­schie­dene Abhil­fe­maß­nah­men: So wurde ein umfas­sen­des Kon­zept vor­ge­legt, wie der Daten­schutz per sofort rich­tig umge­setzt wer­den solle. Zudem hat sich die Unter­neh­mens­lei­tung aus­drück­lich bei den Betrof­fe­nen ent­schul­digt und ist auch der Anre­gung nach­ge­kom­men, den Beschäf­tig­ten einen unbüro­k­ra­ti­schen Scha­den­er­satz in beacht­li­cher Höhe aus­zu­zah­len. Es han­delt sich inso­weit um ein bis­lang bei­spi­el­lo­ses Bekennt­nis zur Unter­neh­mens­ver­ant­wor­tung nach einem Daten­schutz­ver­stoß.

Das neu ein­ge­führte Daten­schutz­kon­zept sieht unter ande­rem einen neu beru­fe­nen Daten­schutz­ko­or­di­na­tor, monat­li­che Daten­schutz-Sta­tu­sup­da­tes, einen ver­stärkt kom­mu­ni­zier­ten Whist­le­b­lo­wer-Schutz sowie ein kon­sis­ten­tes Aus­kunfts-Kon­zept vor.

Der Ham­bur­gi­sche Beauf­tragte für Daten­schutz und Infor­ma­ti­ons­f­rei­heit wer­tete das Bemühen der Kon­zern­lei­tung aus­drück­lich posi­tiv, die Betrof­fe­nen vor Ort zu ent­schä­d­i­gen und das Ver­trauen in das Unter­neh­men als Arbeit­ge­ber wie­der­her­zu­s­tel­len. Die tran­s­pa­rente Auf­klär­ung und die Gewähr­leis­tung einer finan­zi­el­len Kom­pen­sa­tion wür­den durch­aus den Wil­len zei­gen, den Betrof­fe­nen den Respekt und die Wert­schät­zung zukom­men zu las­sen, die sie als abhän­gig Beschäf­tigte in ihrem täg­li­chen Ein­satz für ihr Unter­neh­men ver­die­nen.

Jedoch bewer­tete er die Kom­bi­na­tion aus der Aus­for­schung des Pri­vat­le­bens und der lau­fen­den Erfas­sung, wel­cher Tätig­keit die Arbeit­neh­mer jeweils nach­gin­gen, als beson­ders inten­si­ven Ein­griff in die Rechte der Betrof­fe­nen und ver­hängte trotz der sofort ergrif­fe­nen Abhil­fe­maß­nah­men ein Rekord-Buß­geld in Höhe von 35,3 Mio. Euro. Dies wurde damit begrün­det, dass es sich um eine schwere Mis­sach­tung des Beschäf­tig­ten­da­ten­schut­zes han­delte. Das ver­hängte Buß­geld sei in sei­ner Höhe ange­mes­sen und geeig­net, Unter­neh­men von Ver­let­zun­gen der Pri­vat­sphäre ihrer Beschäf­tig­ten abzu­sch­re­cken.

Die Bedeu­tung des (Arbeit­neh­mer-)Daten­schut­zes steigt - Die Sank­tio­nen unter der DSGVO zie­hen an 

Die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten bedarf daten­schutz­recht­lich stets einer Rechts­grund­lage, sonst ist sie unzu­läs­sig. Im Arbeits­recht ist die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten nur zuläs­sig, wenn diese für die Durch­füh­rung des Arbeits­ver­hält­nis­ses erfor­der­lich sind - oder ggf. dann, wenn es um die Auf­klär­ung einer im Arbeits­ver­hält­nis began­ge­nen Straf­tat eines Beschäf­tig­ten geht (§ 26 BDSG). Dem­ge­gen­über ist das Spei­chern beson­ders sen­si­b­ler Daten, wie bei­spiels­weise Gesund­heits­da­ten, ohne kon­k­re­ten Anlass und ohne Infor­ma­tion des Arbeit­neh­mers stets unzu­läs­sig. Glei­ches gilt für Urlaub und fami­liäre Pro­b­leme.

Der Sach­ver­halt macht deut­lich, dass sich die Bedeu­tung des Daten­schut­zes in den letz­ten zehn bis zwölf Jah­ren mas­siv geän­dert hat. Wäh­rend bei ähn­lich gro­ßen Unter­neh­men Ende der 2000er Jahre für ver­g­leich­bare Ver­stöße (damals wur­den bspw. Detek­teien mit der „Über­wa­chung“ des Pri­vat­le­bens der Arbeit­neh­mer beauf­tragt) noch Buß­geld­be­träge von bis zu 1.5 Mio. Euro ver­hängt wur­den, hat sich der Buß­geld­rah­men nun mit der DSGVO dra­ma­tisch erhöht. Unter­neh­men soll­ten daher berück­sich­ti­gen, dass nach der DSGVO immens hohe Buß­gel­der zur Scha­dens­kom­pen­sa­tion oder der Gewinn­ab­sc­höp­fung, aber auch zur Absch­re­ckung, ver­hängt wer­den kön­nen. Die unter­neh­mens­in­ter­nen daten­schutz­re­le­van­ten ope­ra­ti­ven Pro­zesse - ggf. auch durch externe Bera­ter - kri­tisch über­prü­fen zu las­sen, kann daher im wahrs­ten Sinne des Wor­tes „loh­nens­wert“ sein.

nach oben