(Stuttgart) Verstöße gegen die Datenschutzgrundverordnung können erhebliche Geldbußen nach sich ziehen.
Eine Einschätzung gibt der Hamburger Fachanwalt für Arbeitsrecht Prof. Dr. Michael Fuhlrott, FHM Rechtsanwälte, ab:
Der Sachverhalt: Informationssammlung über Beschäftigte
Nach in der Mitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) vom 01.10.2020 dargestellten Sachverhalts überwachte das Unternehmen mit Sitz in Hamburg in einem in Nürnberg ansässigen Service-Center die eigenen Mitarbeiter seit dem Jahr 2014. Unter anderem sollen Urlaubs- und Krankheitsabwesenheiten und die Gründe einschließlich Diagnose genau erfasst worden sein, wobei auch konkrete Urlaubserlebnisse festgehalten wurden. Zudem soll das Unternehmen auch Inhalte von Gesprächen der Vorgesetzten mit Mitarbeitern erfasst haben, die von harmlosen Details bis hin zu familiären Problemen oder religiösen Bekenntnissen gereicht haben sollen. Die Erkenntnisse sollen sodann gespeichert und für bis zu 50 weitere Führungskräfte sichtbar gewesen sein.
Für diese Handlungen wurde gegen das Unternehmen ein Bußgeldbescheid von EUR 35.258.707,95 erlassen.
Der Sachverhalt ist der Meldung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, abrufbar unter https://datenschutz-hamburg.de/pressemitteilungen/2020/10/2020-10-01-h-m-verfahren zu entnehmen.
– Datenerhebung nur, soweit erforderlich
Das Vorgehen des Unternehmens wurde damit von der Datenschutzbehörde als datenschutzrechtswidrig qualifiziert. „Die Verarbeitung von personenbezogenen Daten bedarf nach der Datenschutzgrundverordnung stets einer Erlaubnis. Ohne eine solche Erlaubnis ist das Verarbeiten und Speichern von personenbezogenen Daten unzulässig“, so Prof. Dr. Michael Fuhlrott, Fachanwalt für Arbeitsrecht.
Ein derartiger Erlaubnistatbestand könne sich insbesondere aus dem Gesetz ergeben oder in Form einer freiwillig erteilten Zustimmung des Arbeitnehmers zu erblicken sein. „Für das Arbeitsverhältnis enthält das Bundesdatenschutzgesetz hier spezielle Regelungen“, so Fuhlrott. „Eine Verarbeitung von personenbezogenen Daten ist danach aber nur zulässig, wenn diese für die Durchführung des Arbeitsverhältnisses erforderlich sind. Das Speichern von besonders sensiblen Daten wie Gesundheitsdaten ohne konkreten Anlass und ohne Information des Arbeitnehmers ist danach regelmäßig verboten“, so Fuhlrott. Denn: „Für die Durchführung des Arbeitsverhältnisses ist es unerheblich, was der Arbeitnehmer in seinem Urlaub erlebt oder ob dieser familiäre Probleme hat“.
Grundsatz: Keine heimliche Überwachung
Erschwerend hinzu komme auch die Heimlichkeit der Datenerhebung. Nach der Datenschutzgrundverordnung ist der Arbeitnehmer über die Datenerhebung zu informieren.
„Die heimliche Überwachung von Arbeitnehmern ist nur ausnahmsweise zulässig. Sie setzt einen konkreten Verdacht einer schweren Pflichtverletzung oder Straftat des Arbeitnehmers voraus. Ist dies der Fall, darf der Arbeitgeber im Einzelfall auch heimliche Überwachungsmaßnahmen vornehmen, also etwa einen Detektiv beauftragen oder die Emails des Arbeitnehmers sichten“, so Fuhlrott.
Ein anlassloses heimliches Sammeln von Informationen ist hiernach aber unter keinen Umständen gerechtfertigt, so Fuhlrott
Bußgeld: Rekordsumme
Die aktuell verhängte Geldbuße ist von ihrer Höhe her insgesamt und auch für einen Verstoß bei Beschäftigtendaten bislang einzigartig. Sie übersteigt das bislang gegen ein Wohnungsverwaltungsunternehmen wegen datenschutzrechtswidrigen Umgangs mit den in Mieterakten enthaltenen Daten verhängte Bußgeld von 14.5 Millionen um mehr als das Doppelte.
Dies entspreche allerdings den gesetzgeberischen Vorgaben, so Fuhlrott: „Die Geldbußen nach der Datenschutzgrundverordnung (Art. 83 DS-GVO) können immens hohe Summen erreichen. Sie dienen nicht der Kompensation eines entstandenen Schadens oder der Gewinnabschöpfung, sondern sollen abschreckend sein. Die absolute Höhe richtet sich nach dem konkreten Unternehmensgewinn und kann im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden.“
Die Datenschutzbehörden haben sich zur Vereinheitlichung der Bemessung von Geldbußen Ende 2019 abgestimmt und hierbei fünf Bemessungskriterien entwickelt, so Fuhlrott. Maßgebliche Faktoren für die Bebußung seien danach die Größe des Unternehmens, dessen mittlerer Jahresumsatz, seine wirtschaftlichen Kennzahlen, die Schwere der Tatumstände sowie weitere täterbezogene und sonstige noch nicht berücksichtigte Umstände.
„Das aktuell verhängte Bußgeld verdeutlicht einmal mehr die Bedeutung des Beschäftigtendatenschutzes. Unternehmen sind tunlichst beraten, die internen Prozesse darauf zu prüfen. Personenbezogene Daten dürfen nur verarbeitet werden, wenn dies erforderlich ist. Nachlässigkeiten in diesem Bereich können gravierende Konsequenzen zur Folge haben“, so Fuhlrott.
Fuhlrott empfiehlt Arbeitgebern und Arbeitnehmern, bei Fragen zur Reichweite oder dem Umfang der Regelungen zum Datenschutz Rechtsrat einzuholen, wobei er u. a. dazu auch auf den VDAA Verband deutscher ArbeitsrechtsAnwälte e. V. – www.vdaa.de – verweist.
Für Rückfragen steht Ihnen zur Verfügung:
Prof. Dr. Michael Fuhlrott
Rechtsanwalt
Fachanwalt für Arbeitsrecht
FHM Rechtsanwälte
Rothenbaumchaussee 5
20148 Hamburg
Tel.: 040 – 36 111 83 0
Fax: 040 – 36 111 83 33
fuhlrott@fhm-law.de
www.fhm-law.de