Neues zum Datenschutzrecht
9.10.2020
Bußgeld i.H.v. 35 Mio. Euro wegen Verstößen gegen den Beschäftigtendatenschutz
Mit einem Bußgeld in Höhe von rund 35 Mio. Euro hat der Hamburgische Landesbeauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) das in Deutschland bislang höchste Bußgeld wegen Datenschutzverstößen verhängt.
Die Hennes & Mauritz Online Shop A.B. & Co. KG mit Sitz in Hamburg hat laut Pressemitteilung des HmbBfDI vom 1. Oktober 2020 mehrere hundert Mitarbeiter eines Servicecenters durch deren Leitung rechtswidrig überwacht.
Hintergrund
Laut Pressemitteilung des HmbBfDI wurden mindestens seit 2014 bei einem Teil der Beschäftigten umfangreich private Lebensumstände erfasst und auf einem Netzlaufwerk dauerhaft gespeichert. Nach Urlaubs- und Krankheitsabwesenheiten führten die Vorgesetzten einen sog. Welcome Back Talk durch und hielten in etlichen Fällen nicht nur konkrete Urlaubserlebnisse, sondern auch Krankheitssymptome und Diagnosen der Beschäftigten fest. Zusätzlich eigneten sich einige Vorgesetzte ein breites Wissen über das Privatleben ihrer Mitarbeitenden an, das von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen reichte. Die teilweise über Einzel- und Flurgespräche ergänzten Erkenntnisse wurden teilweise aufgezeichnet, digital gespeichert und waren mitunter von bis zu 50 weiteren Führungskräften abrufbar. Die so erhobenen Daten wurden neben einer Auswertung der individuellen Arbeitsleistung auch genutzt, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten.
Bekannt wurde die rechtswidrige Datenverarbeitung im Oktober 2019, als auf die Informationen infolge eines Konfigurationsfehlers für einige Stunden unternehmensweit zugegriffen werden konnte.
Verfahren
Nach Bekanntwerden ordnete der HmbBfDI an, den Inhalt des betroffenen Netzlaufwerks vollständig „einzufrieren“ und verlangte die Herausgabe. Das Unternehmen kam dem nach. Der Datensatz umfasste rund 60 Gigabyte. Die Behörde analysierte die Daten und führte Vernehmungen durch, bei denen Zeugen die dokumentierten Praktiken bestätigten.
Die Aufdeckung der erheblichen Verstöße hat die Verantwortlichen zur Ergreifung verschiedener Abhilfemaßnahmen veranlasst. Zudem entschuldigte sich die Unternehmensleitung bei den betroffenen Beschäftigten und zahlte auf Anregung des HmbBfDI einen Schadenersatz in beachtlicher Höhe.
Noch ist offen, ob der Bußgeldbescheid rechtskräftig wird oder das Unternehmen dagegen vorgeht. Laut einer Pressemitteilung von H&M vom 1. Oktober 2020 wird das Unternehmen den Bescheid (zunächst) prüfen.
Fazit
Verstöße gegen den Beschäftigtendatenschutz können teuer werden - sehr teuer, wie der Fall von H&M zeigt. Die Aufsicht bewertet das verhängte Bußgeld als angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken. Die Behörde hat dabei auch positiv berücksichtigt, dass H&M sich – nach Ansicht der Aufsicht sogar in besonders positiver Weise – zu seiner Verantwortung für den Datenschutzverstoß bekannt hat. Allerdings führt die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung zu einem besonders intensiven Eingriff in die Rechte der betroffenen Beschäftigten.
Schließlich muss an dieser Stelle gefragt werden, wie es dazu kommen konnte, dass die Daten für einige Stunden unternehmensweit abrufbar waren. Neben dem Verstoß gegen den Beschäftigtendatenschutz zeigt sich hier ein weiteres Problem bei H&M. Die technischen und organisatorischen Maßnahmen waren nicht hinreichend, um eine angemessene Sicherheit der Datenverarbeitung zu gewährleisten. Zumindest hatte es in diesem Fall für die betroffenen Beschäftigten sein Gutes, da aus diesem Grund die rechtwidrige Datenverarbeitung bekannt wurde …
Sollten Sie Fragen zum Beschäftigtendatenschutz, Prüfungen der Datenschutzaufsicht oder zu sonstigen datenschutzrechtlichen Themen haben oder insoweit Unterstützung benötigen, können Sie mich gerne kontaktieren.
Zurück zur Übersicht