Das schwedische Mode-Unternehmen H&M muss in Deutschland eine Rekordstrafe aufgrund der Verletzung der europäischen Datenschutz-Grundverordnung bezahlen. Was können andere Firmen aus diesem Urteil lernen, um selbst in Zukunft Strafen zu vermeiden?
Am 1. Oktober 2020 informierte die Hamburger Datenschutzbehörde, dass sie wegen der Überwachung von mehreren hundert Mitarbeitern des H&M Servicecenters in Nürnberg durch die Center-Leitung ein Bußgeld in Höhe von fast 35,3 Mio. Euro gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG erlassen hat.
Diese Meldung und die Informationen der Aufsichtsbehörde zur Begründung dieses bisherigen Rekordbußgeldes für Deutschland sollten Unternehmen zum Anlass nehmen, das eigene Datenschutz-Management von Mitarbeiterdaten zu prüfen.
Grund des Bußgeldes gegen H&M war der Mitarbeiterdatenschutz
Die Ursache für das Bußgeld sind Verstöße gegen gesetzliche Vorgaben zum Schutz von Mitarbeiterdaten.
Dies ist bereits ein relevanter Aspekt: Viele Unternehmen – insbesondere im B2B-Bereich – sind immer noch der Ansicht, der Datenschutz sei Verbraucherrecht. Wenn sie keinen Kontakt zu Verbrauchern haben, müssen sie sich hierum also auch nicht kümmern.
Diese Auffassung ist schlicht falsch und für Unternehmen potenziell brandgefährlich. Das Bundesdatenschutzgesetz (BDSG) sieht in Paragraf 26 ausdrücklich Regelungen zum Umgang mit Mitarbeiterdaten vor.
Und auch die europäische Datenschutz-Grundverordnung (DSGVO) gilt völlig unabhängig davon, ob nun Verbraucher oder eigene Mitarbeiter betroffen sind. Die DSGVO kennt den Begriff „Verbraucher“ gar nicht.
Die Hamburger Behörde erläutert, dass es in einem Servicecenter in Nürnberg mindestens seit dem Jahr 2014 bei einem Teil der Beschäftigten zu umfangreichen Erfassungen privater Lebensumstände kam.
Notizen mit diesen Daten wurden auf einem Netzlaufwerk dauerhaft gespeichert. Es wurden etwa nicht nur konkrete Urlaubserlebnisse der Beschäftigten festgehalten, sondern auch Krankheitssymptome und Diagnosen. Die so vorgehaltenen Daten waren für bis zu 50 weitere Führungskräfte im ganzen Haus lesbar.
Die Aufzeichnungen wurden bisweilen mit einem hohen Detailgrad vorgenommen und im zeitlichen Verlauf fortgeschrieben. Die so erhobenen Daten wurden unter anderem genutzt, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten.
Was können Unternehmen aus dem Fall „H&M“ lernen?
Die wichtigste Schlussfolgerung dürfte sein: Auch innerbetrieblich ist das Datenschutzrecht zu beachten.
Wenn sich Unternehmen konkret die Frage stellen, wie sie die Erstellung solcher Listen, wie sie in diesem Fall angefertigt wurden, verhindern können, dürften die Themen Sensibilisierung und Kontrolle eine wichtige Rolle spielen.
Mitarbeiter – insbesondere Führungskräfte – müssen zumindest grundsätzlich wissen, was datenschutzrechtlich erlaubt ist und wo rote Linien verlaufen. Um dies zu erreichen, bieten sich widerholende Sensibilisierungsmaßnahmen wie Schulungen oder E-Learnings an.
Diese sollten auch spezifisch auf die Tätigkeit der Empfänger, etwa von Führungskräften, zugeschnitten sein. Zudem empfehlen sich regelmäßige Rücksprachen zu offenen Fragen im Bereich Datenschutz mit einzelnen Fachbereichen.
So kann aus Sicht des Datenschutzes bereits früh gegengesteuert werden, wenn Mitarbeiter bestimmte Datenverarbeitungen planen, die rechtlich problematisch sind. Weitere Maßnahmen der Sensibilisierung kann zum Beispiel auch ein internes Datenschutz-FAQ zu häufig gestellten Fragen sein.
Ein anderer Aspekt ist sicherlich auch die interne Kontrolle, dass Datenschutz und interne Richtlinien tatsächlich umgesetzt werden. Hier sind der Datenschutzbeauftragte oder die Mitarbeiter aus dem Datenschutz gefordert.
Ganz spezifisch sieht Artikel 39 Absatz 1 lit. b) DSGVO für den Datenschutzbeauftragten vor, dass er die Einhaltung der DSGVO und nationaler Gesetze zum Datenschutz überwachen muss. Wichtig ist dabei, dass ein Datenschutzbeauftragter nur das überwachen kann, wovon er Kenntnis hat.
Entwickelt sich in einem Unternehmen ein gewisses Eigenleben hinsichtlich des Umgangs mit Mitarbeiterdaten, ist es auf entsprechende Hinweise aus dem Beschäftigtenkreis oder gut durchgeführte Kontrollen angewiesen.
Risiken für Unternehmen
Der Fall verdeutlicht auch, dass es nicht immer eine Prüfaktion durch eine Aufsichtsbehörde oder eine Beschwerde eines Betroffenen braucht, damit datenschutzwidrige Praktiken ans Licht kommen.
Im vorliegenden Fall führte ein interner technischer Fehler dazu, dass die Listen kurze Zeit für alle Mitarbeiter zugänglich waren. Dies wurde dann an die Presse weitergegeben, die darüber berichtete.
Erfährt eine Datenschutzbehörde von einem (möglichen) Datenschutzverstoß am sonntäglichen Frühstückstisch aus der Presse, ist dies per se zunächst nicht der beste Start für ein sich anschließendes Verwaltungsverfahren.
Das Bußgeldrisiko kann sich für Unternehmen also nicht nur aus externen Quellen (Wettbewerber, Betroffene, Prüfung der Behörde) ergeben, sondern auch der innerbetriebliche Datenschutz muss im Datenschutz-Management Beachtung finden.
Auch interessant:
