DSGVO

Datenschutz-Verstöße: Arbeitgeber zahlt 35 Millionen Euro Bußgeld

Der Hamburgische Beauftragte für Datenschutz hat die bislang drastischste Sanktion seit Geltung der Datenschutz-Grundverordnung verhängt – wegen systematischer Missachtung des Arbeitnehmerdatenschutzes.

Seit Mitte 2018 gilt in Deutschland die Datenschutz-Grundverordnung (DSGVO). Ihr Ziel ist der Schutz von personenbezogenen Daten auch und gerade im Bereich des Arbeitsrechts. Damit bindet das Regelwerk Ärztinnen und Ärzte, die einen oder mehrere Mitarbeiter angestellt haben.

Diskretion ist Pflicht

Arbeitnehmer müssen ihrem Chef zum Teil sensible Informationen übermitteln, zum Beispiel ihre Sozialversicherungsdaten. Jedoch darf der Praxisinhaber die Daten nur verarbeiten, wenn dies für die Begründung, Durchführung oder die Beendigung des Arbeitsverhältnisses erforderlich ist, also zum Beispiel für die Einstellung und die Auszahlung des Gehalts.

An diese Auflage zum Datenschutz halten sich aber noch immer nicht alle Arbeitgeber, wie der aktuelle Fall aus Hamburg beweist. Sanktioniert wurde die schwedische Modekette H&M. Sie hatte den Beschäftigtendatenschutz jahrelang in grober Art und Weise missachtet und systematisch die Privatsphäre der Beschäftigten verletzt. So hatten Führungskräfte des Konzerns im Servicecenter in Nürnberg seit 2014 private Lebensumstände von Hunderten Beschäftigten ermittelt und aufgezeichnet. Oft lud die Abteilungsleitung Mitarbeiter nach einer Krankheit zum „Welcome Back Talk“ ein. Im Rahmen dieser Gespräche ließen sich Führungskräfte unter anderem von den Symptomen oder Diagnosen der genesenen Arbeitnehmer berichten. Die so erfassten Informationen waren für bis zu 50 Führungskräfte abrufbar.

Die Datensammlung kam durch einen Softwarefehler ans Licht, der die Aufzeichnungen unternehmensweit sichtbar machte – und den Hamburgischen Datenschutzbeauftragten auf den Plan rief. Er verhängte mit rund 35 Millionen Euro das in Deutschland bislang höchste Datenschutz-Bußgeld. Die Summe übersteigt selbst jenen Betrag, der sich aus der Addition aller seit Inkrafttreten der DSGVO bisher in Deutschland verhängten Bußgelder ergibt. Begründet wurde dies unter anderem mit der Schwere der Persönlichkeitsrechtsverletzung.

Zudem soll die Entscheidung abschreckende Wirkung entfalten und andere Unternehmen davon abhalten, die Privatsphäre ihrer Mitarbeiter in ähnlicher Art und Weise zu verletzen.

Mildernde Umstände

Bei genauerem Hinsehen hatte H&M sogar noch Glück im Unglück. Der Datenschutzbeauftragte minderte das Bußgeld, weil das Unternehmen um Wiedergutmachung der Verletzungen bemüht war: Erstens hatten sich die Verantwortlichen bei den Betroffenen entschuldigt, zweitens hatten sie ihnen einen „unbürokratischen Schadenersatz in beachtlicher Höhe“ zugesichert. Daneben hat die Modekette ein Datenschutzkonzept erarbeitet und Mitarbeiter und Führungskräfte umfassend in Sachen Datenschutz geschult. Ohne diese Maßnahmen wäre das Bußgeld wohl noch deutlich höher ausgefallen.

Dennoch sollte die Entscheidung ein Weckruf an Arbeitgeber jeder Größe sein, dem Thema Datenschutz größte Priorität einzuräumen.

Datenschutz ernst nehmen

Arbeitgeber, die die Privatsphäre ihrer Mitarbeiter missachten, gehen ein immer höheres Risiko ein. Bußgelder in der Größenordnung von H&M dürften gegen Einzelpraxen zwar nicht verhängt werden, doch die Summen steigen auch hier. Zudem riskieren Praxisinhaber, die den Datenschutz nicht ernst nehmen, dass die Betroffenen Schadenersatz verlangen. Ein robustes Datensicherheitskonzept ist daher für jede Praxis – egal welcher Größe – ein absolutes Muss.
 

Weitere Artikel zum Thema:

Urteil

Datenschutz: Krankenkasse zu Bußgeld in Millionenhöhe verurteilt


Gut zu wissen

Bis zu 600 Euro: Arbeitgeber kann Kinderbetreuung bezuschussen


Datenschutz-Grundverordnung

Arbeitgeber muss Ex-Mitarbeiter 5.000 Euro Schadensersatz für unzureichende Auskunft zahlen


Recht

Was ist erlaubt und was nicht? Corona und der Datenschutz im Arbeitsverhältnis


Anstieg nach dem Jahreswechsel

Höherer Mindestlohn: 450-Euro-Grenze für Mini-Jobs bleibt