-höchstes in Deutschland bisher verhängtes DSGVO-Bußgeld-
Was war passiert?
Der Hamburgische Beauftragte für den Datenschutz und die Informationsfreiheit hat gegen den Modehändler H&M ein Bußgeld in Höhe von 35.258.707,95 € erlassen. Grund hierfür sind Verstöße gegen den Beschäftigtendatenschutz. Nach Auskunft der Hamburger Behörde hatte H&M seit 2014 private personenbezogene Daten der Mitarbeiter eines Servicecenters dauerhaft rechtswidrig gespeichert. Insbesondere nach Abwesenheiten sollen umfassende private Informationen durch Mitarbeitergespräche ermittelt worden sein. Neben Krankheitsdiagnosen sollen Informationen zu familiären Problemen, Glaubensbekenntnissen und Urlaubserlebnissen erfasst worden sein. Diese Daten sollen daraufhin gespeichert und bis zu 50 Vorgesetzten dauerhaft zugänglich gewesen sein. Im Rahmen einer Datenpanne erfolgte wohl zudem eine kurzzeitige unternehmensweite Freischaltung der Informationen.
Woraus resultiert die Höhe des Bußgeldes?
Der LfDI Hamburgs, Prof. Dr. Caspar, wertet die Höhe des Bußgeldes vor dem Hintergrund der Schwere des Datenschutzverstoßes als angemessen und verweist zudem auf die abschreckende Wirkung, die dieses Bußgeld für Unternehmen entfalten soll. H&M habe sich jedoch kooperativ gezeigt, und umfassende Nachbesserungsmaßnahmen vorgelegt. Es kann vermutet werden, dass sich dies bei der Bemessung des Bußgelds bereits zu ihren Gunsten niedergeschlagen hat. Zu beachten ist, dass der Bescheid wohl noch nicht rechtskräftig ist.
Wie hat H&M reagiert?
In einer Pressemittteilung hat H&M angekündigt, den Bescheid sorgfältig prüfen zu lassen, grundlegend jedoch eingeräumt dass es zu Fehlern im Umgang mit Mitarbeiterdaten am Standort Nürnberg gekommen sei.
Was müssen Unternehmen beachten?
Verstöße gegen Mitarbeiterdatenschutz waren bereits in der Vergangenheit mehrfach Thema bei der Verhängung von Bußgeldern. Unternehmen sollten daher genau prüfen, welche Daten Ihrer Mitarbeiter sie auf welcher Rechtsgrundlage zu welchem Zweck verarbeiten, und wer Zugang zu diesen Daten hat.
Für die Datenverarbeitung im Rahmen eines Beschäftigtenverhältnisses finden die Vorschriften der Datenschutzgrundverordnung sowie des neuen Bundesdatenschutzgesetzes Anwendung. Hier ist insbesondere der besondere Schutz von Gesundheitsdaten und ähnlich sensibler Daten wie der Religionszugehörigkeit nach Art. 9 Abs. 1 DSGVO zu beachten. Diese dürfen nur nach Maßgabe der Art. 9 Abs. 2 bis 4 DSGVO verarbeitet werden.
Weiterhin müssen im Rahmen der Datenverarbeitung von Mitarbeiterdaten stets eventuelle Mitwirkungspflichten des Betriebsrats nach dem Betriebsverfassungsgesetz beachtet werden, insbesondere wenn wie im vorliegenden Fall Daten gesammelt werden, die geeignet sind, das Verhalten der Beschäftigten zu überwachen.
Eine umfassende Erstellung von Mitarbeiterprofilen durch verdeckte Datenerhebung, bei der private und teilweise höchstsensible Daten dauerhaft gespeichert und analysiert werden, stellt in jedem Fall ein eklatanter Verstoß gegen geltendes Datenschutzrecht dar.
Gerne beraten wir Sie bezüglich konkreter Maßnahmen, der Umsetzung einer Datenschutzfolgeabschätzung und/oder der Anpassung einer Datenschutzerklärung für Ihre Beschäftigten. Kontaktieren Sie uns hierfür unter: kontakt[at]rmprivacy.de
Bildernachweis für diesen Beitrag: @ dbunn-stock. adobe. com