Erstes hohes DSGVO-Bußgeld wegen Mitarbeiterspionage steht bevor

Die Modekette H&M sieht unangenehmen Zeiten entgegen. Die Hamburger Datenschutzbehörde hat ein Ermittlungsverfahren gegen das Unternehmen wegen Ausforschung von Mitarbeitern eingeleitet. Hierbei geht es um keine Kleinigkeiten. Die Frankfurter Allgemeine Zeitung berichtet, dass nach Auskunft der Hamburger Datenschützer die Auswertung des gesichteten Materials ergeben habe, dass „detaillierte und systematische Aufzeichnungen von Vorgesetzten über ihre Arbeitnehmerinnen und Arbeitnehmer“ vorgenommen wurden. Dabei soll es sich auch „Gesundheitsdaten der Betroffenen, von der Blasenschwäche bis zur Krebserkrankung, sowie um Daten von Personen aus deren sozialen Umfeld wie etwa familiäre Streitigkeiten, Todesfälle oder Urlaubserlebnisse“, handeln. Die Aufzeichnungen solcher Berichte basierte aus persönlichen Gesprächen der betroffenen Mitarbeiter entweder mit Teamleitern und anderen Vorgesetzten – aber auch aus Plauderrunden in den Büroräumen oder während Raucherpausen, berichtet die FAZ. Nach Bekanntwerden der Ausforschung soll H&M nicht transparent mit den Vorfällen umgegangen sein.

Besonders sensible Daten stehen im Fokus

Es handelt sich um den ersten gravierenden Fall im Bereich des Beschäftigtendatenschutzes nach Inkrafttreten der Datenschutzgrundverordnung (DSGVO). Zuletzt hatte vor über 10 Jahren der Lidl-Skandal erhebliche Wellen geschlagen und der Forderung nach einem besseren Schutz für Mitarbeiter Auftrieb gegeben. Der Discounter hatte Mitarbeiter in großem Umfang heimlich per Video ausgespäht; dies auch in geschützten Bereichen wie Umkleidebereichen. Das hatte zu einem – nach damaligen Maßstäben – hohen Bußgeld geführt.

Sollten sich die Vorwürfe gegen H&M bewahrheiten, so droht der Modekette ein Bußgeld, dass durchaus in die Millionen gehen kann. Die unzulässige Speicherung von Gesundheitsdaten, sogenannte besondere personenbezogene Daten im Sinne von Art. 9 DSGVO, stellt einen gravierenden Eingriff in die Persönlichkeitsrechte der betroffenen Beschäftigten dar, ebenso die Ausforschung von privaten Lebensumständen. Erschwerend kommt hinzu, dass die Daten der Beschäftigten offenbar vorsätzlich erhoben wurden, um ein Persönlichkeitsprofil der Mitarbeiter zu erstellen.

Man kann sich vorstellen, wozu die Daten gespeichert wurden: Beschönigend könnte man sagen, eine Speicherung sei lediglich erfolgt, um auf die persönlichen Umstände der Mitarbeiter Rücksicht nehmen zu können. Naheliegender ist jedoch, dass je nach Datenlage die Zukunft der Mitarbeiter im Unternehmen geplant wurde. Aus Krankheiten wie auch aus persönlichen Lebensumständen kann auf die Einsatzkraft von Beschäftigten geschlossen werden: auf Arbeitsausfälle wegen schwerer Krankheiten oder schwieriger Lebensumstände. Es drängt sich der Verdacht auf, dass die Ausforschungen betrieben wurden, um sich (rechtzeitig) von den „anfälligsten“ Mitarbeitern lösen zu können.

Bei der Bemessung des Bußgeldes nach Art. 83 DSGVO kommt es maßgeblich auf den Jahresumsatz des Unternehmens an; ferner, ob ein konzernweiter Verstoß vorliegt oder eine regionale Begrenzung gegeben ist. Ebenso spielt die Schwere des Verstoßes eine Rolle, also in welcher Anzahl Datenverletzungen stattfanden, welche Daten betroffen waren und ob die Verletzung vorsätzlich erfolgte.

Betroffenen Beschäftigten steht eine Entschädigung zu

Nicht übersehen sollte man, dass auch die Mitarbeiter Ansprüche gemäß Art. 82 DSGVO geltend machen können. Da Gesundheits- und sehr persönliche Daten der Beschäftigten ausgeforscht wurden, dürften adäquate Entschädigungsansprüche bestehen. Bezüglich der Entschädigung bei Mitarbeiterüberwachungen liegt bislang nur eine nennenswerte Anzahl von Urteilen wegen unzulässiger Videoüberwachung vor. Hier wurden Summen in Höhe von mehreren tausend Euro ausgeurteilt. Der betreffende Fall kann aufgrund seiner Schwere sicherlich in diesem Bereich eingeordnet werden. Eine andere Frage ist, ob die betroffenen Beschäftigten in solchen Fällen gegen ihren Arbeitgeber vorgehen oder ob sie davon absehen, weil sie befürchten ihren Arbeitsplatz oder ihren beruflichen Aufstieg zu gefährden. Das Unternehmen sollte proaktiv auf die Geschädigten zugehen und eine angemessene Entschädigung zahlen. Die Datenschutzbehörde könnte überlegen, ob sie ein solches entschädigungsoffenes Verhalten bei der Bemessung ihres Bußgeldes berücksichtigen kann.

Schließlich ist der Betriebsrat gefragt, denn er ist befugt, bei betrieblichen Regelungen zum Beschäftigtendatenschutz mitzubestimmen. Verstöße gegen Betriebsvereinbarungen können betriebsverfassungsrechtlich geahndet werden. Betriebsräte sollten überlegen, in Betriebsvereinbarungen zum Datenschutz für Regelverstöße eine Vertragsstrafe (z.B. zugunsten eines betrieblichen Sozialfonds) aufzunehmen, die dann letztlich der Sicherheit und dem Betriebsfrieden dient.

Autor: Christian Oberwetter

Autor: Christian Oberwetter

Rechtsanwalt
Fachanwalt für Arbeitsrecht
Fachanwalt für IT-Recht


Veröffentlicht am 27.01.2020
unter #Arbeitsrecht, #Datenschutz