Was Sie nach dem DSGVO-Verstoß von H&M in Ihrem Unternehmen beachten sollten

Ein DSGVO-Verstoß von H&M kostet das Unternehmen 35 Millionen Euro. Worauf müssen Sie in Ihrem Unternehmen achten, um DSGVO-konform zu handeln?

Bei der Strafe gegen H&M handelt es sich um das bisher höchste in Deutschland verhängte Bußgeld. Die Hamburger Datenschutzbehörde sanktionierte den Verstoß. Europaweit gab es bislang nur in Frankreich eine höhere Bestrafung für ein Unternehmen. Google musste im vergangenen Jahr 50 Millionen Euro zahlen. Die französische Datenschutzbehörde sprach die Rekordstrafe aus.

Der Verstoß von H&M war aufgefallen, weil die Daten durch einen IT-Fehler im Oktober des vergangenen Jahres kurzzeitig für alle Mitarbeiter im Unternehmen einsehbar waren.

Der Fall H&M besitzt Signalwirkung. Wir fassen zusammen, was Sie zur DSGVO wissen sollten und wie Sie in Ihrem Unternehmen DSGVO-konform handeln.

Infos zur Datenschutzgrundverordnung

Mit der Datenschutzgrundverordnung (DSGVO) gelten in der Europäischen Union seit dem 25. Mai 2018 für den Umgang von Unternehmen mit den Daten ihrer Mitarbeiter strengere Vorgaben als zuvor.

Grundsätzlich ist sie eine einheitliche Regelung zum Schutz von personenbezogenen Daten. Insbesondere Unternehmen haben durch die DSGVO weitreichende Pflichten. Auf Verstöße drohen hohe Strafen. Die Beispiele H&M oder Google zeigen, dass die Datenschutzbehörden solche Verstöße entschlossen ahnden.

Aber auch die Verbraucherrechte wurden durch die DSGVO ausgeweitet. Nun existiert gegenüber Unternehmen neben dem bisherigen Recht auf Auskunft und Löschung der Daten ein Recht auf Datenübertragbarkeit.

Wie H&M gegen die DSGVO verstoßen hat

Das Bußgeld für den DSGVO-Verstoß von H&M verhängte die Hamburger Datenschutzbehörde für das Ausspähen von Mitarbeitern.

Die Gesellschaft mit Sitz in Hamburg betreibt ein Servicecenter in Nürnberg und führte dort umfangreiche Erfassungen privater Lebensumstände der Mitarbeiter durch. Vorgesetzte erfassten Urlaubs- und Krankheitsabwesenheiten auch kurzer Dauer nach Rückkehr in sogenannten “Welcome Back Talks”. Dort hielten sie dann nicht nur konkrete Urlaubserlebnisse der Arbeitnehmer fest, sondern protokollierten auch Krankheitssymptome und Diagnosen.

Zusätzlich eigneten sich einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden an, das von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen reichte. Die Informationen erfassten die Vorgesetzten und speicherten sie digital. So erstellten sie detaillierte Profile, die für bis zu 50 Führungskräfte im Unternehmen einsehbar waren.

Die Profile dienten als Basis für die Bewertung der individuellen Arbeitsleistung und wurden für Personalentscheidungen herangezogen.

„Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte zu einem besonders intensiven Eingriff in die Rechte der Betroffenen.“ – so Prof. Dr. Johannes Caspar, Hamburgs Beauftragter für Datenschutz und Informationsfreiheit.

DSGVO-konformes Handeln in Ihrem Unternehmen

Selbstverständlich ist der Smalltalk in der Teeküche und die Frage nach dem vergangenen Wochenende rechtlich unbedenklich. Doch Unternehmen dürfen diese Gespräche eben nicht protokollieren, um daraus Profile ihrer Mitarbeiter zu erstellen.

Denn Sie dürfen keine Daten Ihrer Mitarbeiter sammeln, die nicht im Zusammenhang mit der im Arbeitsvertrag vereinbarten Tätigkeit stehen. Grundsätzlich können Unternehmen Mitarbeiterdaten nur verarbeiten, wenn diese für die Durchführung des Arbeitsverhältnisses erforderlich sind oder andere berechtigte Interessen des Arbeitgebers für die Verarbeitung sprechen. Selbstverständlich ist hier die Grenze zwischen böswilliger Überwachung und der Dokumentation zwecks Qualitätssicherung sehr schmal.

Neuerungen und Pflichten für Unternehmen nach der DSGVO

Die Datenschutzgrundverordnung nimmt Unternehmen stärker in die Pflicht. Für deutsche Unternehmen änderte sich zunächst erstmal nicht viel, da einige Neuerungen bereits durch die alte Fassung des Bundesdatenschutzgesetzes galten.

Das gilt beispielsweise für die Bestellung eines Datenschutzbeauftragten in Ihrem Unternehmen. Einen solchen schreibt die DSGVO ebenso wie das Bundesdatenschutzgesetz für Unternehmen vor.

Einige Neuerungen und Pflichten gelten für Unternehmen nach der DSGVO allerdings dennoch, wenn sie Daten innerhalb der EU erheben:

• Anwendungsbereich: Neu ist, dass die DSGVO nicht nur für Unternehmen gilt, die ihren Sitz in der EU haben. Auch außereuropäische Unternehmen, die auf dem europäischen Markt agieren oder dort Daten von EU-Bürgern verarbeiten, sind an sie gebunden.
• Sanktionen: Geldbußen bei Nichteinhaltung können bis zu 4 Prozent des gesamten Jahresumsatzes betragen.
• Privacy by Design: Technische Maßnahmen zum Schutz personenbezogener Daten sollen bereits Teil der Entwicklung von Vorgängen sein. So wird Datenschutz zum Standard.
• Privacy by Default: Voreinstellungen in Unternehmen sollen datenschutzfreundlich sein. Datenschutz wird so ohne Anpassungen von vornherein gewährt.
• Meldepflicht: Eine Verletzung, etwa durch eine Datenpanne, müssen Unternehmen innerhalb von 72 Stunden melden. Die Pflicht besteht allerdings nicht, wenn die Verletzung “voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt”.

Unsere Einschätzung

Für die meisten Unternehmen besteht zunächst kein Grund zur Panik. Dennoch zeigen die Fälle H&M oder Google, dass die zuständigen Behörden bei Verstößen durchgreifen.

Sollten Sie unsere Unterstützung bei der Umsetzung der DSGVO in Ihrem Unternehmen benötigen oder Zweifel haben, inwieweit und welche personenbezogenen Daten Ihrer Mitarbeiter Sie verarbeiten dürfen, können Sie sich jederzeit bei uns melden.

PS: Haben Sie schon die Einwilligung Ihrer Mitarbeiter für den innerhalb des Unternehmens veröffentlichten Geburtstagskalender eingeholt?