Nie zuvor hat es in Deutschland bislang eine höhere Geldbuße wegen des Verstoßes gegen den Arbeitnehmer-Datenschutz gegeben!
© Adobe StockMassiver Datenschutzverstoß durch umfassende Arbeitnehmerüberwachung
Das Unternehmen hatte seit 2014 bei einem Teil seiner Beschäftigten private Lebensumstände in nicht unerheblichem Umfang erfasst und dauerhaft gespeichert. Hierzu führten die Führungskräfte bzw. Vorgesetzten nach Urlaubs- und Krankheitsabwesenheiten der Arbeitnehmer – auch kurzer Art – sogenannten „Welcome Back Talks“ durch. Im Anschluss an diese Gespräche wurden - ohne Kenntnis und Einwilligung der Arbeitnehmer - vielfach sowohl konkrete Urlaubserlebnisse der Beschäftigten, als auch Krankheitssymptome und Diagnosen dokumentiert. Darüber hinaus erfassten einige Vorgesetzte durch Einzel- und Flurgespräche auch gezielt verschiedene Details zum Privatleben der Arbeitnehmer. Diese Daten reichten von eher harmlosen Details über familiäre Probleme bis hin zu religiösen Bekenntnissen. Auch diese Informationen wurden teilweise aufgezeichnet, digital gespeichert. Die so angesammelten Daten waren über ein Netzlaufwerk für zahlreiche andere (ca. 50) Führungskräfte im Unternehmen abrufbar. Die Aufzeichnungen wurden mit einem hohen Detailgrad vorgenommen und regelmäßig fortgeschrieben. Die so erhobenen Daten wurden neben einer akribischen Auswertung der individuellen Arbeitsleistung u.a. genutzt, um ein Profil der Beschäftigten für Maßnahmen zu erhalten und Entscheidungen im Arbeitsverhältnis zu treffen.
Die Datenerhebung wurde dadurch bekannt, dass die Notizen infolge eines Konfigurationsfehlers im Oktober 2019 für einige Stunden unternehmensweit abrufbar waren. Dadurch erlangte der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Kenntnis über die Datensammlung und ordnete zunächst an, den Inhalt des Netzlaufwerks vollständig „einzufrieren“ bzw. an die Behörde herauszugeben.
Abhilfemaßnahmen und Rekord-Bußgeld
Sofort nach Bekanntwerden der Datenschutzverstöße ergriff das Unternehmen verschiedene Abhilfemaßnahmen: So wurde ein umfassendes Konzept vorgelegt, wie der Datenschutz per sofort richtig umgesetzt werden solle. Zudem hat sich die Unternehmensleitung ausdrücklich bei den Betroffenen entschuldigt und ist auch der Anregung nachgekommen, den Beschäftigten einen unbürokratischen Schadenersatz in beachtlicher Höhe auszuzahlen. Es handelt sich insoweit um ein bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß.
Das neu eingeführte Datenschutzkonzept sieht unter anderem einen neu berufenen Datenschutzkoordinator, monatliche Datenschutz-Statusupdates, einen verstärkt kommunizierten Whistleblower-Schutz sowie ein konsistentes Auskunfts-Konzept vor.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit wertete das Bemühen der Konzernleitung ausdrücklich positiv, die Betroffenen vor Ort zu entschädigen und das Vertrauen in das Unternehmen als Arbeitgeber wiederherzustellen. Die transparente Aufklärung und die Gewährleistung einer finanziellen Kompensation würden durchaus den Willen zeigen, den Betroffenen den Respekt und die Wertschätzung zukommen zu lassen, die sie als abhängig Beschäftigte in ihrem täglichen Einsatz für ihr Unternehmen verdienen.
Jedoch bewertete er die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit die Arbeitnehmer jeweils nachgingen, als besonders intensiven Eingriff in die Rechte der Betroffenen und verhängte trotz der sofort ergriffenen Abhilfemaßnahmen ein Rekord-Bußgeld in Höhe von 35,3 Mio. Euro. Dies wurde damit begründet, dass es sich um eine schwere Missachtung des Beschäftigtendatenschutzes handelte. Das verhängte Bußgeld sei in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.
Die Bedeutung des (Arbeitnehmer-)Datenschutzes steigt - Die Sanktionen unter der DSGVO ziehen an
Die Verarbeitung personenbezogener Daten bedarf datenschutzrechtlich stets einer Rechtsgrundlage, sonst ist sie unzulässig. Im Arbeitsrecht ist die Verarbeitung personenbezogener Daten nur zulässig, wenn diese für die Durchführung des Arbeitsverhältnisses erforderlich sind - oder ggf. dann, wenn es um die Aufklärung einer im Arbeitsverhältnis begangenen Straftat eines Beschäftigten geht (§ 26 BDSG). Demgegenüber ist das Speichern besonders sensibler Daten, wie beispielsweise Gesundheitsdaten, ohne konkreten Anlass und ohne Information des Arbeitnehmers stets unzulässig. Gleiches gilt für Urlaub und familiäre Probleme.
Der Sachverhalt macht deutlich, dass sich die Bedeutung des Datenschutzes in den letzten zehn bis zwölf Jahren massiv geändert hat. Während bei ähnlich großen Unternehmen Ende der 2000er Jahre für vergleichbare Verstöße (damals wurden bspw. Detekteien mit der „Überwachung“ des Privatlebens der Arbeitnehmer beauftragt) noch Bußgeldbeträge von bis zu 1.5 Mio. Euro verhängt wurden, hat sich der Bußgeldrahmen nun mit der DSGVO dramatisch erhöht. Unternehmen sollten daher berücksichtigen, dass nach der DSGVO immens hohe Bußgelder zur Schadenskompensation oder der Gewinnabschöpfung, aber auch zur Abschreckung, verhängt werden können. Die unternehmensinternen datenschutzrelevanten operativen Prozesse - ggf. auch durch externe Berater - kritisch überprüfen zu lassen, kann daher im wahrsten Sinne des Wortes „lohnenswert“ sein.
