Bußgelder wegen Datenschutzverstößen - Rekordstrafe verhängt

Bislang höchstes Datenschutz-Bußgeld in Deutschland verhängt

Bußgeld Datenschutzverstoß Rekordstrafe BeschäftigtendatenschutzBildquelle: Adobe Stock/Peter Maszlen/eigene Darstellung

Bußgeld in Millionenhöhe wegen Datenschutzverstoß gegen H&M

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), Prof. Dr. Johannes Caspar, hat ein Bußgeld in Höhe von 35,3 Mio. € gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG verhängt – das bislang höchste Datenschutz-Bußgeld in Deutschland. Er äußerte in diesem Zusammenhang, dass es sich hierbei um eine besonders schwere Missachtung des Beschäftigtendatenschutzes handele und das Bußgeld angemessen und geeignet sei, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.

Erheblicher Verstoß gegen den Beschäftigtendatenschutz

Seit mindestens 2014 erfasste H&M in seinem Servicecenter in Nürnberg systematisch und umfangreich private Lebensumstände von mehreren hundert Mitarbeitern und machte die entsprechenden Aufzeichnungen rund 50 Führungskräften zugänglich. Diese teilweise sensiblen personenbezogenen Daten wurden unter anderem im Rahmen von sogenannten Welcome-Back-Gesprächen nach Urlaubs- oder Krankheitsabwesenheit oder im Rahmen von Einzel- und Flurgesprächen erfasst und digital gespeichert.

Die Bandbreite der personenbezogenen Daten ging von eher harmlosen persönlichen Details bis hin zu familiären Problemen oder religiösen Bekenntnissen, die Erfassung erreichte teilweise einen so hohen Detailgrad und wurde im zeitlichen Verlauf so fortgeschrieben, dass durch die Auswertung regelrechte Persönlichkeitsprofile der Beschäftigten entstanden. Diese Informationen wurden dann für diverse Maßnahmen und Entscheidungen im Rahmen des Arbeitsverhältnisses genutzt. Durch diese Kombination – der Ausforschung des Privatlebens und der laufenden Erfassung der individuellen Arbeitsleistung – wurde laut der Hamburger Datenschutzaufsicht im besonderen Maße in das Persönlichkeitsrecht der Betroffenen eingegriffen.

Datenschutzverstoß: Das Bußgeld hätte noch höher ausfallen können

Nach Art. 83 Abs. 1 DS-GVO soll das Bußgeld abschreckende Wirkung entfalten. Mitunter können sich aber entgegenkommendes oder einsichtiges Verhalten und Maßnahmen zur Kompensation seitens des Verantwortlichen mindernd auf das Bußgeld auswirken. Laut der Hamburger Datenschutzaufsicht handelt es sich bei den im Anschluss von H&M ergriffenen Maßnahmen zur Entschuldigung und Kompensation der Datenschutzverletzung und zur Etablierung eines künftig hohen Datenschutzniveaus um ein „bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß“. Ausdrücklich habe sich das Bemühen der Konzernleitung ausgezahlt, die Betroffenen teilweise beachtlich zu entschädigen und durch transparente Aufklärung das Vertrauen der Mitarbeiter zurückzugewinnen. Ohne diese Maßnahmen hätte das Bußgeld noch weit höher ausfallen können.

1&1 kommt trotz Bußgeldbescheid mit einem blauen Auge davon

Im Dezember 2019 verhängte der Bundesdatenschutzbeauftragte wegen Mängeln bei der Verifikation der Identität von Anrufern ein Bußgeld in Höhe von rund 9,5 Mio. € gegen den Telekommunikationsdienstleister 1&1 Telecom GmbH (siehe Newsletter der Solidaris Rechtsanwaltsgesellschaft 1/2020). Die gegen den Bußgeldbescheid gerichtete Klage hatte vor dem Landgericht Bonn (LG) Erfolg. Das LG setzte das Bußgeld auf 900.000 € herab (Urteil vom 11. November 2020 – 29 OWi 1/20 LG). Nach Ansicht der Bonner Richter sei das Bußgeld unverhältnismäßig hoch, weil es nicht zu einer massenhaften Herausgabe von Daten an Nichtberechtigte gekommen sei. Die Authentifizierungspraxis von 1&1 sei auch jahrelang unbeanstandet geblieben.

Für kirchliche Einrichtungen sind derart hohe Bußgelder bislang nicht verhängt worden und eher selten. Die vorhandenen Fälle bewegen sich bislang maximal auf niedrigem fünf-stelligen Niveau.

Datenschutzverstöße vermeiden Fazit

Diese Beispiele zeigen, dass Bußgelder nicht selten für Vorgänge verhängt werden, die über Jahre in Unternehmen gepflegt wurden und gewachsen waren. Als Datenschutzverletzungen werden solche Vorgänge unserer Erfahrung nach intern häufig nicht erkannt, wenn sie als Normalität innerhalb der Unternehmen empfunden und aus datenschutzrechtlicher Sicht nicht hinreichend hinterfragt werden. Daher bietet sich an, in regelmäßigen Abständen eine andere Perspektive einzunehmen und das Datenschutzmanagementsystem im Rahmen einer umfangreichen Bestandsaufnahme oder eines Datenschutz-Audits durch Externe begutachten zu lassen. Dabei unterstützen wir Sie gern.

Kontakt
Ihre Ansprechpartner an unseren Standorten:
Münster
RA
Alexander Gottwald, EMBA, externer Datenschutzbeauftragter (GDDcert. EU)
+49 (0)251 48261-173
 

Solidaris Rechtsanwaltsgesellschaft mbH

Gottwald

Alexander Gottwald

  • Studium der Rechtswissenschaft in Frankfurt am Main und Münster
  • seit 2016 Rechtsanwalt
  • 2016 EMBA – Executive Master of Business Management, Betriebswirtschaftliches Masterprogramm der Westfälischen Wilhelms-Universität Münster
  • seit 2016 bei der Solidaris
  • 2017 – Ausbildung zum zertifizierten Datenschutzbeauftragten bei der Gesellschaft
    für Datenschutz und Datensicherheit (GDDcert. EU)

Aktivitäten

  • Lehrauftrag an der Hochschule FOM in Münster u.a. in dem Bachelor-Studiengang Wirtschafts-Informatik

Schwerpunkte

  • Gesellschafts-, Vereins- und Stiftungsrecht 
  • Steuer- und Gemeinnützigkeitsrecht 
  • Individual- und Kollektivarbeitsrecht 
  • Allg. Zivilrecht und Vertragsrecht 
  • IT-Recht und Datenschutz
  • Externer Datenschutzbeauftragter

Veröffentlichungen in der Fachpresse
2019

  • Datenschutz im MVZ: Health&Care Management, 12/2019, S. 60.
  • Datenschutz - ein Perspektivwechsel: PflegeManagement, 4-5/2019, S. 14-15.
  • Die Tücken der E-Mail-Verschlüsselung: BRAK Magazin, 1/2019, S. 6.
  • Erstmalig hohes Bußgeld: Health&Care Management, 2/2019, S.56.


Veröffentlichungen in der Fachpresse
2018

  • Richtlinie kurzfristig umsetzen: Wohlfahrt intern, 6/2018, S. 39. 
  • Datenschutz erhält mehr Gewicht: neue Caritas, 2/2018, S. 24.
  • Kirchen beschließen Novellierung des Datenschutzes: Health&Care Management Newsletter, 1/2018

Veröffentlichungen in der Fachpresse
2017

  • Freifunk für alle: Sozialwirtschaft, 9-10/2017, S. 36-37.
  • Neue Regeln für Befristungen: Sozialwirtschaft, 6/2017, S. 30-31.