Die Hamburger Datenschutzbehörde schreitet mit einem Rekordbußgeld gegen die Ausforschung des Privatlebens von Beschäftigten ein.
Die Modekette H&M hat in einem Servicecenter über Jahre hinweg den Beschäftigtendatenschutz missachtet. Dafür verhängt der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit mit rund EUR 35 Mio. das in Deutschland bislang höchste Bußgeld. Es reiht sich auf Platz 2 aller unter der DSGVO in Europa verhängten Bußgelder ein.
Top 5 der Datenschutz-Bußgelder in Europa mit Volumen von ca. EUR 300 Mio.
Die DSGVO gilt nun seit rund zweieinhalb Jahren. Seitdem haben die europäischen Datenschutzbehörden insgesamt schon Bußgelder in Höhe von rund EUR 300 Mio. verhängt. Eine Zusammenstellung und Kategorisierung aller bislang ergangenen über 400 Entscheidungen liefert der Enforcement Tracker. Ganz oben auf der Liste steht ein Bußgeld der französischen Datenschutzbehörde CNIL gegen Google: EUR 50 Mio. muss Google für die Verletzung von Informations- und Transparenzpflichten sowie unwirksamer Werbeeinwilligungen bezahlen. Das höchste französische Verwaltungsgericht – der Conseil d’Etat – hat die Behördenentscheidung erst kürzlich bestätigt.
In den Top 5 aller Bußgelder finden sich auch zwei Entscheidungen der britischen Datenschutzbehörde ICO gegen die Airline British Airways und Marriott Hotels in Höhe von insgesamt über EUR 40 Mio. Diese Entscheidungen haben allerdings einen deutlichen Wandel durchgemacht: Von anfangs angekündigten EUR 200 Mio. gegen British Airways blieben „nur″ EUR 22 Mio. stehen. Ähnlich der Verlauf im Fall Marriott: Hier kürzte die ICO das Bußgeld von angekündigten EUR 110 Mio. auf rund EUR 20 Mio.
Beiden Fällen lagen Verletzungen der Datensicherheit zugrunde. Die deutlich reduzierten Beträge erklärt die ICO nur kurz mit einem Verweis auf die zwischenzeitlich ergriffenen Maßnahmen zur Verbesserung der Datensicherheit sowie mit dem Einfluss der Corona-Pandemie auf die beiden besonders betroffenen Unternehmen.
H&M erstellte datenschutzwidrig Persönlichkeitsprofile der Beschäftigten
Die Entscheidung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit reiht sich nun mit rund EUR 35 Mio. nach Google auf Platz 2 der Datenschutz-Bußgelder ein.
In einer Pressemitteilung erklärt die Behörde die auschlaggebenden Hintergründe für die Entscheidung: H&M erfasste in einem Servicecenter in Nürnberg über Jahre hinweg private Lebensumstände der Beschäftigten. Nach krankheits- oder urlaubsbedingter Abwesenheit luden Führungskräfte die Beschäftigten zu einem „Welcome Back Talk″ ein. Hier berichteten die Beschäftigten von ihren Urlaubserlebnissen, aber auch von Krankheitssymptomen und Diagnosen. Außerdem wertete das Unternehmen den „Flurfunk″ aus: Über Einzel- und Flurgespräche erlangte Erkenntnisse wie familiäre Probleme oder religiöse Bekenntnisse landeten so ebenfalls in den Aufzeichnungen.
Die sensiblen Notizen waren digital abrufbar und bis zu 50 Führungskräften zugänglich. Indem H&M diese Aufzeichnungen laufend fortschrieb, ergab sich gleichzeitig ein Persönlichkeitsprofil der Beschäftigten. Diese Profile nutzte die Modekette zusammen mit den Auswertungen zu den Arbeitsleistungen für Entscheidungen zum Arbeitsverhältnis, also mutmaßlich auch für Abmahnungen oder Kündigungen.
Ein Systemfehler machte die Aufzeichnungen unternehmensweit abrufbar. In der Folge berichtete die Presse über die Missstände. Über diesen Umweg erlangte auch die Behörde Kenntnis von den Datenschutzverstößen und begann die Ermittlungen.
Umsatz des Unternehmens und Schwere der Datenschutzverletzungen maßgeblich für hohes Bußgeld für H&M u.a.
Das Bußgeld basiert wie üblich auf dem Umsatz des Unternehmens. Welchen H&M-Umsatz die Behörde konkret zugrunde gelegt hat, ist nicht bekannt. Anscheinend handelt es sich aber um einen auf Deutschland beschränkten Umsatz. Denn bei Berücksichtigung des weltweiten H&M-Umsatzes wäre wohl von einer deutlich höheren Strafe auszugehen.
In jedem Fall würdigte die Hamburger Datenschutzbehörde die schweren Persönlichkeitsverletzungen maßgeblich. Auch bei Ansatz des nur auf Deutschland beschränkten Umsatzes hat die Behörde deshalb wohl einen hohen Multiplikationsfaktor angewandt, der das Bußgeld in die Höhe schnellen ließ. Das Bußgeld soll nicht zuletzt andere Unternehmen von solch schweren Verletzungen des Beschäftigtendatenschutzes abschrecken.
Zu Gunsten von H&M berücksichtigte die Behörde neben der kooperativen Zusammenarbeit die zwischenzeitlich ergriffenen Maßnahmen zum Datenschutz. So setzte H&M ein ganzes Datenschutz-Paket um: Die Unternehmensleitung hat sich bei den Betroffenen entschuldigt und einen „unbürokratischen Schadensersatz in beachtlicher Höhe″ versprochen. H&M hat außerdem einen Datenschutzkoordinator berufen und monatliche Datenschutz-Statusupdates umgesetzt. Schließlich hat das Unternehmen auch den Whistleblower-Schutz verstärkt kommuniziert und Auskunfts-Konzepte präsentiert.
Unternehmen müssen Grundsatz der Rechtmäßigkeit der Datenverarbeitung einhalten
Die wichtigste Erkenntnis der Hamburger Entscheidung gegen H&M scheint banal zu sein: Kein Unternehmen darf rechtswidrig Daten verarbeiten. Erst recht dürfen Unternehmen nicht in die Privat- oder Intimsphäre der Beschäftigten eingreifen.
Ganz so banal ist diese Erkenntnis allerdings dann doch nicht. Verstöße gegen den Grundsatz der Rechtsmäßigkeit der Datenverarbeitung stellen immer noch den häufigsten Grund dar, weswegen Behörden Bußgelder verhängen. Auf Platz 2 folgen unzureichende Sicherheitsmaßnahmen, wie in den Fällen gegen British Airways und Marriott. Eine ausführliche Analyse dieser Rechtsgrundlagen für Datenschutz-Bußgelder lässt sich dem CMS Enforcement Tracker Report entnehmen, der zudem die einschlägigen Branchen berücksichtigt.
Aus dem Fall H&M ist konkret zu lernen, dass Unternehmen regelmäßig nur solche Beschäftigtendaten verarbeiten dürfen, die für die Begründung, Durchführung oder Beendigung des Arbeitsverhältnisses erforderlich sind. Datenschutz muss auf der Management-Ebene ankommen. Es sollte eine Kultur der ständigen Berücksichtigung des Datenschutzes herrschen (Privacy by Design). Dazu gehört auch, alle Beschäftigten regelmäßig zum Datenschutz zu schulen. Gegen Fehlentwicklungen sollten Unternehmen an die Einsetzung einer Whistleblowing-Hotline denken. Die Entscheidung zeigt auch, dass Behörden diese Maßnahmen positiv für die Bemessung der Bußgeldhöhe berücksichtigen.
