Datenschutz-Verstöße: Arbeitgeber zahlt 35 Millionen Euro Bußgeld

Seit Mitte 2018 gilt in Deutschland die Datenschutz-Grundverordnung (DSGVO). Ihr Ziel ist der Schutz von personenbezogenen Daten auch und gerade im Bereich des Arbeitsrechts. Damit bindet das Regelwerk Ärztinnen und Ärzte, die einen oder mehrere Mitarbeiter angestellt haben.

Diskretion ist Pflicht

Arbeitnehmer müssen ihrem Chef zum Teil sensible Informationen übermitteln, zum Beispiel ihre Sozialversicherungsdaten. Jedoch darf der Praxisinhaber die Daten nur verarbeiten, wenn dies für die Begründung, Durchführung oder die Beendigung des Arbeitsverhältnisses erforderlich ist, also zum Beispiel für die Einstellung und die Auszahlung des Gehalts.

An diese Auflage zum Datenschutz halten sich aber noch immer nicht alle Arbeitgeber, wie der aktuelle Fall aus Hamburg beweist. Sanktioniert wurde die schwedische Modekette H&M. Sie hatte den Beschäftigtendatenschutz jahrelang in grober Art und Weise missachtet und systematisch die Privatsphäre der Beschäftigten verletzt. So hatten Führungskräfte des Konzerns im Servicecenter in Nürnberg seit 2014 private Lebensumstände von Hunderten Beschäftigten ermittelt und aufgezeichnet. Oft lud die Abteilungsleitung Mitarbeiter nach einer Krankheit zum „Welcome Back Talk“ ein. Im Rahmen dieser Gespräche ließen sich Führungskräfte unter anderem von den Symptomen oder Diagnosen der genesenen Arbeitnehmer berichten. Die so erfassten Informationen waren für bis zu 50 Führungskräfte abrufbar.

Die Datensammlung kam durch einen Softwarefehler ans Licht, der die Aufzeichnungen unternehmensweit sichtbar machte – und den Hamburgischen Datenschutzbeauftragten auf den Plan rief. Er verhängte mit rund 35 Millionen Euro das in Deutschland bislang höchste Datenschutz-Bußgeld. Die Summe übersteigt selbst jenen Betrag, der sich aus der Addition aller seit Inkrafttreten der DSGVO bisher in Deutschland verhängten Bußgelder ergibt. Begründet wurde dies unter anderem mit der Schwere der Persönlichkeitsrechtsverletzung.

Zudem soll die Entscheidung abschreckende Wirkung entfalten und andere Unternehmen davon abhalten, die Privatsphäre ihrer Mitarbeiter in ähnlicher Art und Weise zu verletzen.

Mildernde Umstände

Bei genauerem Hinsehen hatte H&M sogar noch Glück im Unglück. Der Datenschutzbeauftragte minderte das Bußgeld, weil das Unternehmen um Wiedergutmachung der Verletzungen bemüht war: Erstens hatten sich die Verantwortlichen bei den Betroffenen entschuldigt, zweitens hatten sie ihnen einen „unbürokratischen Schadenersatz in beachtlicher Höhe“ zugesichert. Daneben hat die Modekette ein Datenschutzkonzept erarbeitet und Mitarbeiter und Führungskräfte umfassend in Sachen Datenschutz geschult. Ohne diese Maßnahmen wäre das Bußgeld wohl noch deutlich höher ausgefallen.

Dennoch sollte die Entscheidung ein Weckruf an Arbeitgeber jeder Größe sein, dem Thema Datenschutz größte Priorität einzuräumen.