Erfahrungen & Bewertungen zu Kolb, Blickhan & Partner

Gefahr: Beschäftigten- datenschutz | Rekord Bußgeld H&M

 
 
 
 

Nach der jüngsten Umfrage des Bundesverbandes für Informationswirtschaft, Telekommunikation und neue Medien, bitkom e.V., gaben 67 Prozent der in Deutschland ansässigen Unternehmen an, die datenschutzrechtliche Bestimmungen der Datenschutz-Grundverordnung (DS-GVO) sowie des Bundesdatenschutzgesetzes (BDSG) in großen Teilen umgesetzt zu haben. Erst 25 Prozent der Unternehmen gaben an, ein vollständiges Datenschutzmanagement umgesetzt zu haben. Unter den befragten Unternehmen bestand Einigkeit (97 Prozent) darüber, dass die Umsetzung der DS-GVO mit einem hohen Aufwand verbunden sei (Quelle: Pressemitteilung des bitkom e.V. – abrufbar unter https://www.bitkom.org/Presse/Presseinformation/Zwei-Drittel-der-Unternehmen-haben-DS-GVO-groesstenteils-umgesetzt). 

Während ein Großteil der Unternehmen primär darauf bedacht ist, das äußere Auftreten (wie z.B. Homepage, Datenschutzbelehrungen für Vertragspartner und Kunden usw.) datenschutz- und insb. abmahnsicher zu gestalten, werden innerbetriebliche Strukturen oftmals vernachlässigt; dies betrifft insb. den Beschäftigtendatenschutz. Die Missachtung des Beschäftigtendatenschutzes kann jedoch fatale Folgen für ein Unternehmen haben. 

 

(Rekord-)Bußgeld gegen H&M(!) 

Die Nachricht war – wenn auch absehbar – schockierend: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Johannes Caspar verhängte gegen das namhafte Textilmodegeschäft ein (auf dem ersten Blick) schwindelerregendes Bußgeld in Höhe von 35,3 Millionen Euro (Quelle: https://www.handelsblatt.com/unternehmen/handel-konsumgueter/modehaendler-mitarbeiter-ausgespaeht-datenschutzbeauftragter-verhaengt-rekord-bussgeld-gegen-hundm/26234570.html?ticket=ST-1252876-G9KjeScjGC7pBIa7uQNz-ap1). 

Diesem Bußgeld lag ein – zurecht angenommener – gravierender Verstoß des Beschäftigtendatenschutzes zugrunde: 

Im Laufe des vergangenen Jahres stellten – aufgrund eines technischen Fehlers, der zur versehentlichen internen Offenlegung führte – Mitarbeiter des H&M Standortes Nürnberg fest, dass die Leitung von H&M in großem Umfang u.a. anderem auch die privaten Lebensumstände ihrer Beschäftigten erfasste. 

Leitende Angestellten und Vorgesetzten der betroffenen Mitarbeiter führten nach urlaubs- oder krankheitsbedingten Abwesenheiten sog. „Welcome Back Talks durch; die hierbei gewonnenen Informationen, wie z.B. konkrete Urlaubsereignisse oder Krankheitssymptome und Diagnosen usw., wurden schriftlich dokumentiert und dauerhaft gespeichert. Nach Angaben des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit zeichneten Vorgesetzte darüber hinausgehend auch Details aus dem Privatleben, bspw. Familienproblemen oder religiösen Bekenntnissen u.Ä., aufAnschließend und anhand dieser Informationen erstellten die Führungskräfte und leitende Angestellte von H&M Mitarbeiterprofile, auf Grundlage derer personelle Einzelmaßnahmen, wie z.B. Kündigungen, Beförderungen oder Versetzungen usw., getroffen wurden. 

Trotz glaubhafter Bemühungen des Textilmodegeschäftes, diesen Verstoß wiedergutzumachen, u.a. in Form eines umfangreichen Bekenntnisses zur Unternehmensverantwortung nach diesem Datenschutzverstoß, einer Entschädigung der betroffenen Mitarbeiter sowie der Zusicherung und tatsächlichen Umsetzung des Datenschutzes an dem Standort Nürnberg, konnte die Verhängung des zuvor genannten (Rekord-)Bußgeldes nicht abgewendet werden. 

 

Der (Beschäftigten-)Datenschutz und dessen (Rechts-)Folgen 

Die Entscheidung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit mag auf den ersten Blick für Arbeitgeber überraschend sein: 

Bei den zuvor genannten Daten handelt es sich um solche, die regelmäßig erfasst werden und deren Verarbeitung nicht per se rechtswidrig ist. Gemäß § 26 BDSG darf ein Arbeitgeber auch sensible Daten, wie z.B. Gesundheitsdaten, verarbeiten, soweit dies zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist. So dient die Erfassung von urlaubs- und krankheitsbedingten Abwesenheiten eines Mitarbeiters, zunächst zur ordnungsgemäßen Abrechnung des Arbeitsverhältnisses (z.B. Entgeltfortzahlung, Urlaubsentgelt usw.) oder der Personal- und Dienstplanung. Gesundheitsdaten dürfen und (sogar) müssen erfasst werden, soweit der Arbeitgeber verpflichtet ist ein betriebliches Eingliederungsmanagement durchzuführen um einem Arbeitnehmer einen leidensgerechten Arbeitsplatz zur Verfügung stellen zu können. Letztendlich sind Leistungsbeurteilungen und Mitarbeitergespräche nicht per se rechtswidrig, da personelle Einzelmaßnahmen wie z.B. Abmahnungen, jedoch auch Beförderungen gestützt werden. 

 

Was ist (denn nun) erlaubt / verboten? 

Wie bereits dargelegt, darf gemäß § 26 BDSG ein Arbeitgeber personenbezogene Daten seiner Mitarbeiter verarbeiten, d.h. erheben, speichern, weitergeben usw., soweit dies zur Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist.  

Vordergründig ist stets die Zweckbindung: Dies bedeutet, dass die Daten ausschließlich zwecks der Begründung, Durchführung oder Beendigung eines Beschäftigungsverhältnisses verarbeitet werden dürfen; eine zweckentfremdete Datenverarbeitung ist per se rechtswidrig. 

In der zweiten Stufe muss die Datenverarbeitung zusätzlich zur Erreichung der zuvor genannte Zweck erforderlich sein. Dies geht zwingend mit einer umfangreichen Interessensabwägung einher: Einerseits sind die berechtigten Interessen eines Arbeitgebers, der eine Vielzahl an arbeitnehmerschützende Vorschriften, bspw. das Arbeitszeitgesetz, Bundesurlaubsgesetz, Entgeltfortzahlungsgesetz usw., wahren muss, zu berücksichtigen; dem gegenüber steht das berechtigte und verfassungsrechtlich verankerte Recht der Arbeitnehmer auf Privatsphäre. Im Rahmen dieser Interessensabwägung muss auch zwingend geprüft werden, wie lange die Daten, selbst wenn deren Erfassung prinzipiell rechtmäßig war, gespeichert werden dürfen. Die Grenze der Erforderlichkeit ist – wie der Fall H&M verdeutlicht – überschritten, wenn auf Grundlage der erfassten Daten – faktisch unter Missachtung der Privatsphäre – eine umfangreiche sowie unverhältnismäßige (und mithin widerrechtliche) Leistungs- und Verhaltenskontrolle der Mitarbeiter erfolgen kann. Denn gerade dies ermöglicht es, (in widerrechtlicher Art und Weise) Leistungs- und Verhaltensprofile über die Mitarbeiter zu erstellen. 

Dementsprechend ist die anzuwendende Faustformel (denkbar) einfach: Ein Arbeitgeber darf nicht zu viele Datennicht zu lange speichern. 

 

Die konkreten Rechtsfolgen – Ein Überblick der derzeitigen Rechtsprechung 

Wie bereits aus der aktuellen Presse und diesem Artikel zu entnehmen ist, ist ein Datenschutzverstoß bußgeldbewehrt. Gemäß Art. 83 DS-GVO kann ein Bußgeld im Falle eines schwerwiegenden Verstoßes bis zu 20 Millionen Euro oder 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs betragen. Doch hiermit ist es nicht getan: 

Gemäß Art. 82 DS-GVO haben die (von einem Datenschutzverstoß) betroffenen Personen auch einen Individualanspruch auf Schadensersatz bzw. Entschädigung. Hierbei gilt es zu berücksichtigen, dass nicht nur der konkret entstandene Schaden ersetzt wird; die DS-GVO sieht vor, dass ein Schadensersatz- bzw. Entschädigungsanspruch, unter Berücksichtigung des Umfangs des Datenschutzverstoßes, so hoch anzusetzen ist, dass dieser abschreckend auf den Arbeitgeber einwirkt, damit er eine künftige Datenschutzkonformität gewährleistet. 

Hierbei entschieden Arbeitsgerichte, dass die Missachtung des Auskunftsverlangens eines Arbeitnehmers gemäß Art. 15 DS-GVO – ungeachtet dessen, ob seine Daten rechtmäßig verarbeitet wurden – einen Schadensersatzanspruch in Höhe von bis zu 5.000,00 Euro begründen kann. Im Hinblick darauf, dass die landesarbeitsgerichtliche Rechtsprechung annimmt, dass ein Arbeitgeber gemäß Art. 15 Abs. 1 und Abs. 3 DS-GVO verpflichtet ist, einem Arbeitnehmer Auskunft über sämtliche Verarbeitungsvorgänge, die seine personenbezogene Daten betreffen, zu erteilen und darüber hinaus eine Kopie aller Dokumente und personenbezogener Daten, die er erfasst hat, zur Verfügung zu stellen, sind Arbeitgeber, die kein adäquates Datenschutzsystem eingeführt haben, welches sich auch auf den Beschäftigtendatenschutz erstreckt, einem hohen Haftungsrisiko ausgesetzt. 

Letztendlich hat auch das Bundesarbeitsgericht (BAG) – auf Grundlage der alten Fassung des BDSG und noch vor Inkrafttreten der DS-GVO – ausdrücklich festgehalten, dass (eklatant) datenschutzwidrig erlangte Daten im Rahmen von personellen Einzelmaßnahmen, z.B. Kündigungen oder Abmahnungen, einem Beweisvertretungsverbot unterliegen können, weshalb die erlangten Informationen im Rahmen eines gerichtlichen Verfahrens nicht berücksichtigt werden können. In den Fällen, in denen im Betrieb des Arbeitgebers ein Betriebsrat besteht, entspricht es der (seit über zwanzig Jahren) gefestigten Rechtsprechung des BAG, dass hinsichtlich der Daten, die der Arbeitgeber mithilfe technischer Einrichtungen (Hard- und Software) erfasst hat, ohne vor deren Einführung den Betriebsrat gemäß § 87 Abs. 1 Nr. 6 BetrVG beteiligt zu haben, zunächst ebenfalls einem Beweisverwertungsverbot unterliegen könnenferner steht dem Betriebsrat gemäß § 23 Abs. 3 BetrVG gegen dem Arbeitgeber ein Unterlassungsanspruch zu, falls dieser – ohne das Mitbestimmungsrecht des Betriebsrates zu wahren –die technische Einrichtung „einseitig“ einführt. 

 

Der Ausblick 

Nachdem die Aufsichtsbehörden unmittelbar nach der Einführung der DS-GVO den Unternehmen eine Schon- und Umsetzungsfrist eingeräumt hatten, scheint diese Kulanzzeit nach Ablauf von nunmehr über zwei Jahren seit Inkrafttreten der DS-GVO vorbei zu sein. Es dürfte für Unternehmer nunmehr dringend an der Zeit sein, ein vollständiges Datenschutzmanagement, welches sich auch auf den Beschäftigtendatenschutz erstreckt, einzuführen. Wie bereits einleitend dargelegt, kann gerade einmal jedes vierte Unternehmen von sich behaupten, ein entsprechend der DS-GVO und BDSG adäquates Datenschutzsystem eingeführt zu haben.  

Nachdem der Europäische Gerichtshof (EuGH) letztes Jahr urteilte, dass Arbeitgeber zur Wahrung des Arbeitszeitgesetzes (ArbZG) verpflichtet sind, ein objektives Zeiterfassungssystem einzuführen (hierzu unser Artikel vom 15.09.2019), ergeben sich bei der (künftigen) Umsetzung dieses Urteiles erhebliche Probleme, die das Spannungsverhältnis Arbeitnehmer- und Datenschutz betreffen: Arbeitgeber werden angehalten sein, die tägliche Arbeitszeit ihrer Mitarbeiter einerseits – zwecks der Einhaltung des Arbeitszeitgesetzes – zu erfassen, andererseits dürfen diese Daten allenfalls nur bedingt zur Leistungsbeurteilung herangezogen werden; auch hier gilt – ähnlich wie im Fall von H&M – ein Übermaßverbot, welches stets mithilfe geeigneter datenschutzrechtlicher Maßnahmen zu wahren ist. 

 

Haben Sie Fragen auf den Gebieten des Arbeitsrechts und Datenschutzes und sind auf der Suche nach einer professionellen Rechtsberatung vom Fachanwalt? 

Wir sind eine auf Arbeits- und Datenschutzrecht spezialisierte Kanzlei. Unsere Expertise erstreckt sich sowohl auf die Beratung von Unternehmern und die Unterstützung bei der Einführung eines – auf das Unternehmen zugeschnittenen – Datenschutzmanagements, als auch auf die Beratung und Vertretung von Arbeitnehmern und Betriebsräten bei der Durchsetzung ihrer kollektiv- und individualrechtlichen Ansprüche und Rechte.  

 
 
 
Call Now ButtonKontakt aufnehmen