Bislang höchstes Datenschutz-Bußgeld in Deutschland verhängt
Bußgeld in Millionenhöhe wegen Datenschutzverstoß gegen H&M
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), Prof. Dr. Johannes Caspar, hat ein Bußgeld in Höhe von 35,3 Mio. € gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG verhängt – das bislang höchste Datenschutz-Bußgeld in Deutschland. Er äußerte in diesem Zusammenhang, dass es sich hierbei um eine besonders schwere Missachtung des Beschäftigtendatenschutzes handele und das Bußgeld angemessen und geeignet sei, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.
Erheblicher Verstoß gegen den Beschäftigtendatenschutz
Seit mindestens 2014 erfasste H&M in seinem Servicecenter in Nürnberg systematisch und umfangreich private Lebensumstände von mehreren hundert Mitarbeitern und machte die entsprechenden Aufzeichnungen rund 50 Führungskräften zugänglich. Diese teilweise sensiblen personenbezogenen Daten wurden unter anderem im Rahmen von sogenannten Welcome-Back-Gesprächen nach Urlaubs- oder Krankheitsabwesenheit oder im Rahmen von Einzel- und Flurgesprächen erfasst und digital gespeichert.
Die Bandbreite der personenbezogenen Daten ging von eher harmlosen persönlichen Details bis hin zu familiären Problemen oder religiösen Bekenntnissen, die Erfassung erreichte teilweise einen so hohen Detailgrad und wurde im zeitlichen Verlauf so fortgeschrieben, dass durch die Auswertung regelrechte Persönlichkeitsprofile der Beschäftigten entstanden. Diese Informationen wurden dann für diverse Maßnahmen und Entscheidungen im Rahmen des Arbeitsverhältnisses genutzt. Durch diese Kombination – der Ausforschung des Privatlebens und der laufenden Erfassung der individuellen Arbeitsleistung – wurde laut der Hamburger Datenschutzaufsicht im besonderen Maße in das Persönlichkeitsrecht der Betroffenen eingegriffen.
Datenschutzverstoß: Das Bußgeld hätte noch höher ausfallen können
Nach Art. 83 Abs. 1 DS-GVO soll das Bußgeld abschreckende Wirkung entfalten. Mitunter können sich aber entgegenkommendes oder einsichtiges Verhalten und Maßnahmen zur Kompensation seitens des Verantwortlichen mindernd auf das Bußgeld auswirken. Laut der Hamburger Datenschutzaufsicht handelt es sich bei den im Anschluss von H&M ergriffenen Maßnahmen zur Entschuldigung und Kompensation der Datenschutzverletzung und zur Etablierung eines künftig hohen Datenschutzniveaus um ein „bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß“. Ausdrücklich habe sich das Bemühen der Konzernleitung ausgezahlt, die Betroffenen teilweise beachtlich zu entschädigen und durch transparente Aufklärung das Vertrauen der Mitarbeiter zurückzugewinnen. Ohne diese Maßnahmen hätte das Bußgeld noch weit höher ausfallen können.
1&1 kommt trotz Bußgeldbescheid mit einem blauen Auge davon
Im Dezember 2019 verhängte der Bundesdatenschutzbeauftragte wegen Mängeln bei der Verifikation der Identität von Anrufern ein Bußgeld in Höhe von rund 9,5 Mio. € gegen den Telekommunikationsdienstleister 1&1 Telecom GmbH (siehe Newsletter der Solidaris Rechtsanwaltsgesellschaft 1/2020). Die gegen den Bußgeldbescheid gerichtete Klage hatte vor dem Landgericht Bonn (LG) Erfolg. Das LG setzte das Bußgeld auf 900.000 € herab (Urteil vom 11. November 2020 – 29 OWi 1/20 LG). Nach Ansicht der Bonner Richter sei das Bußgeld unverhältnismäßig hoch, weil es nicht zu einer massenhaften Herausgabe von Daten an Nichtberechtigte gekommen sei. Die Authentifizierungspraxis von 1&1 sei auch jahrelang unbeanstandet geblieben.
Für kirchliche Einrichtungen sind derart hohe Bußgelder bislang nicht verhängt worden und eher selten. Die vorhandenen Fälle bewegen sich bislang maximal auf niedrigem fünf-stelligen Niveau.
Datenschutzverstöße vermeiden Fazit
Diese Beispiele zeigen, dass Bußgelder nicht selten für Vorgänge verhängt werden, die über Jahre in Unternehmen gepflegt wurden und gewachsen waren. Als Datenschutzverletzungen werden solche Vorgänge unserer Erfahrung nach intern häufig nicht erkannt, wenn sie als Normalität innerhalb der Unternehmen empfunden und aus datenschutzrechtlicher Sicht nicht hinreichend hinterfragt werden. Daher bietet sich an, in regelmäßigen Abständen eine andere Perspektive einzunehmen und das Datenschutzmanagementsystem im Rahmen einer umfangreichen Bestandsaufnahme oder eines Datenschutz-Audits durch Externe begutachten zu lassen. Dabei unterstützen wir Sie gern.
