Hamburgische Datenschutzbehörde: Geldbuße i.H.v. 35,3 Mio. € gegen H&M wegen Datenschutzvertößen

Mit Bescheid vom 01.10.2020 setzte der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) ein Bußgeld i.H.v. ca. 35.3 Mio. € gegen die Modekette H&M wegen Datenschutzverstößen fest.

Was ist in dem Fall geschehen?

Die Modekette H&M betreibt ein Servicecenter mit mehreren hundert Mitarbeitern in Nürnberg. In dieser Niederlassung wurden heimlich in großem Umfang sensible personenbezogene Daten von Beschäftigten erhoben und u.a. zur Auswertung der Arbeitsleistung verwendet. So wurden etwa nach krankheits- oder urlaubsbedingter Abwesenheit eines Teils der Beschäftigten sog. „Welcome Back Talks“ durch die Leitung durchgeführt. Dabei wurden neben Urlaubserlebnissen auch Krankheitssymptome und Diagnosen notiert. Zudem wurden Einzel- oder Flurgespräche mit Beschäftigten teils aufgezeichnet, teils auf dem Computer festgehalten. Bei diesen Gesprächen ging es neben harmlosen Details auch um religiöse Bekenntnisse und familiäre Probleme der Beschäftigten. Letztlich ging daraus ein Datensatz von 60 Gigabyte hervor, der H&M zur Erstellung von Profilen diente. Die Profile beinhalteten ein breites Wissen über das Privatleben der Beschäftigten, welches wiederum Maßnahmen und Entscheidungen im Arbeitsverhältnis zu Grunde gelegt wurden. Auf diese Daten hatten ca. 50 Führungskräfte von H&M Zugriff.

Nachdem diese Datensätze auf Grund eines technischen Fehlers unternehmensweit zugänglich wurden, erfuhr auch der Datenschutzbeauftragte hiervon und verlangte daraufhin die Einfrierung und Herausgabe der Datensätze. Nach Aufdeckung der Verstöße durch die Behörde entschuldigte sich die Geschäftsleitung und sagte ein neues Konzept zum Umgang mit personenbezogenen Daten zu. Zudem erklärte H&M, dass eine Schadensersatzzahlung an die Betroffenen in „beachtlicher Höhe“ gezahlt werde.

Wo ist der Beschäftigtendatenschutz geregelt?

Da die personenbezogenen Daten verwendet wurden, um Maßnahmen und Entscheidungen im Zuge des Beschäftigungsverhältnisses durchzuführen, ist eine entsprechende Verarbeitung nur dann als datenschutzrechtlich zulässig zu bewerten, wenn die einschlägigen Regelungen des Beschäftigtendatenschutzes eingehalten sind (also insbesondere § 26 Bundesdatenschutzgesetz – BDSG). Arbeitgeber können – ohne eine Einwilligung der Arbeitnehmer – etwa zum Zwecke der Durchführung des Beschäftigungsverhältnisses gem. § 26 Abs. 1 Satz 1 BDSG personenbezogene Daten der Beschäftigten erheben. Dieser Erlaubnistatbestand setzt jedoch voraus, dass die Verarbeitung von personenbezogenen Daten von Mitarbeitern „erforderlich“ ist. An einer Erforderlichkeit in diesem Sinne mangelte es allerdings. Eine permanente Überwachung von Arbeitnehmern zur Leistungskontrolle kann zudem wegen des damit verbundenen unverhältnismäßigen Eingriffs in das Persönlichkeitsrecht nicht als zulässig erachtet werden.

Was folgt daraus für die Praxis?

Dieser Fall bestätigt das an verschiedenen Stellen von den deutschen Datenschutzbehörden erklärte Ziel, die Instrumentarien der DSGVO auszuschöpfen und u.a. mit abschreckenden Bußgeldern stärker gegen Unternehmen vorzugehen. Gerade im Bereich des Beschäftigungsverhältnisses ist aus Sicht der Unternehmen, also der Arbeitgeber, höchste Vorsicht geboten, wenn personenbezogene Daten von Beschäftigten verarbeitet werden. Zudem sind der heimlichen Erhebung von Daten seit jeher – auch durch deutsche Gerichte – enge rechtliche Grenzen gesetzt.

Es zeigt sich zudem, dass die Schulung von Führungskräften im Umgang mit personenbezogenen Daten von Beschäftigten (Datenschutzschulungen) zwingend erforderlich ist, um Bußgelder und damit verbundene Reputationsschäden zu vermeiden.

Hervorzuheben ist, dass die Angaben der Hamburgischen Datenschutzbehörde einmal mehr bestätigen, dass eine Kooperation mit der Behörde und das Bemühen um Schadensbegrenzung positiv berücksichtigt wird.

Bei Fragen zum Thema Datenschutzrecht wenden Sie sich gerne an Ihren Rechtsanwalt für Datenschutz-, IT- und Medienrecht in Köln und bundesweit Dr. Baran Kizil, LL.M.