22. Oktober 2020

Was Sie nach dem DSGVO-Verstoß von H&M in Ihrem Unternehmen beachten sollten

Kategorien: Unkategorisiert

Ein DSGVO-Verstoß von H&M kostet das Unternehmen 35 Millionen Euro. Worauf müssen Sie in Ihrem Unternehmen achten, um DSGVO-konform zu handeln?

Bei der Strafe gegen H&M handelt es sich um das bisher höchste in Deutschland verhängte Bußgeld. Die Hamburger Datenschutzbehörde sanktionierte den Verstoß. Europaweit gab es bislang nur in Frankreich eine höhere Bestrafung für ein Unternehmen. Google musste im vergangenen Jahr 50 Millionen Euro zahlen. Die französische Datenschutzbehörde sprach die Rekordstrafe aus.

Der Verstoß von H&M war aufgefallen, weil die Daten durch einen IT-Fehler im Oktober des vergangenen Jahres kurzzeitig für alle Mitarbeiter im Unternehmen einsehbar waren.

Der Fall H&M besitzt Signalwirkung. Wir fassen zusammen, was Sie zur DSGVO wissen sollten und wie Sie in Ihrem Unternehmen DSGVO-konform handeln.

Infos zur Datenschutzgrundverordnung

Mit der Datenschutzgrundverordnung (DSGVO) gelten in der Europäischen Union seit dem 25. Mai 2018 für den Umgang von Unternehmen mit den Daten ihrer Mitarbeiter strengere Vorgaben als zuvor.

Grundsätzlich ist sie eine einheitliche Regelung zum Schutz von personenbezogenen Daten. Insbesondere Unternehmen haben durch die DSGVO weitreichende Pflichten. Auf Verstöße drohen hohe Strafen. Die Beispiele H&M oder Google zeigen, dass die Datenschutzbehörden solche Verstöße entschlossen ahnden.

Aber auch die Verbraucherrechte wurden durch die DSGVO ausgeweitet. Nun existiert gegenüber Unternehmen neben dem bisherigen Recht auf Auskunft und Löschung der Daten ein Recht auf Datenübertragbarkeit.

Wie H&M gegen die DSGVO verstoßen hat

Das Bußgeld für den DSGVO-Verstoß von H&M verhängte die Hamburger Datenschutzbehörde für das Ausspähen von Mitarbeitern.

Die Gesellschaft mit Sitz in Hamburg betreibt ein Servicecenter in Nürnberg und führte dort umfangreiche Erfassungen privater Lebensumstände der Mitarbeiter durch. Vorgesetzte erfassten Urlaubs- und Krankheitsabwesenheiten auch kurzer Dauer nach Rückkehr in sogenannten “Welcome Back Talks”. Dort hielten sie dann nicht nur konkrete Urlaubserlebnisse der Arbeitnehmer fest, sondern protokollierten auch Krankheitssymptome und Diagnosen.

Zusätzlich eigneten sich einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden an, das von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen reichte. Die Informationen erfassten die Vorgesetzten und speicherten sie digital. So erstellten sie detaillierte Profile, die für bis zu 50 Führungskräfte im Unternehmen einsehbar waren.

Die Profile dienten als Basis für die Bewertung der individuellen Arbeitsleistung und wurden für Personalentscheidungen herangezogen.

„Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte zu einem besonders intensiven Eingriff in die Rechte der Betroffenen.“ – so Prof. Dr. Johannes Caspar, Hamburgs Beauftragter für Datenschutz und Informationsfreiheit.

DSGVO-konformes Handeln in Ihrem Unternehmen

Selbstverständlich ist der Smalltalk in der Teeküche und die Frage nach dem vergangenen Wochenende rechtlich unbedenklich. Doch Unternehmen dürfen diese Gespräche eben nicht protokollieren, um daraus Profile ihrer Mitarbeiter zu erstellen.

Denn Sie dürfen keine Daten Ihrer Mitarbeiter sammeln, die nicht im Zusammenhang mit der im Arbeitsvertrag vereinbarten Tätigkeit stehen. Grundsätzlich können Unternehmen Mitarbeiterdaten nur verarbeiten, wenn diese für die Durchführung des Arbeitsverhältnisses erforderlich sind oder andere berechtigte Interessen des Arbeitgebers für die Verarbeitung sprechen. Selbstverständlich ist hier die Grenze zwischen böswilliger Überwachung und der Dokumentation zwecks Qualitätssicherung sehr schmal.

Neuerungen und Pflichten für Unternehmen nach der DSGVO

Die Datenschutzgrundverordnung nimmt Unternehmen stärker in die Pflicht. Für deutsche Unternehmen änderte sich zunächst erstmal nicht viel, da einige Neuerungen bereits durch die alte Fassung des Bundesdatenschutzgesetzes galten.

Das gilt beispielsweise für die Bestellung eines Datenschutzbeauftragten in Ihrem Unternehmen. Einen solchen schreibt die DSGVO ebenso wie das Bundesdatenschutzgesetz für Unternehmen vor.

Einige Neuerungen und Pflichten gelten für Unternehmen nach der DSGVO allerdings dennoch, wenn sie Daten innerhalb der EU erheben:

  • Anwendungsbereich: Neu ist, dass die DSGVO nicht nur für Unternehmen gilt, die ihren Sitz in der EU haben. Auch außereuropäische Unternehmen, die auf dem europäischen Markt agieren oder dort Daten von EU-Bürgern verarbeiten, sind an sie gebunden.
  • Sanktionen: Geldbußen bei Nichteinhaltung können bis zu 4 Prozent des gesamten Jahresumsatzes betragen.
  • Privacy by Design: Technische Maßnahmen zum Schutz personenbezogener Daten sollen bereits Teil der Entwicklung von Vorgängen sein. So wird Datenschutz zum Standard.
  • Privacy by Default: Voreinstellungen in Unternehmen sollen datenschutzfreundlich sein. Datenschutz wird so ohne Anpassungen von vornherein gewährt.
  • Meldepflicht: Eine Verletzung, etwa durch eine Datenpanne, müssen Unternehmen innerhalb von 72 Stunden melden. Die Pflicht besteht allerdings nicht, wenn die Verletzung “voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt”.

Unsere Einschätzung

Für die meisten Unternehmen besteht zunächst kein Grund zur Panik. Dennoch zeigen die Fälle H&M oder Google, dass die zuständigen Behörden bei Verstößen durchgreifen.

Sollten Sie unsere Unterstützung bei der Umsetzung der DSGVO in Ihrem Unternehmen benötigen oder Zweifel haben, inwieweit und welche personenbezogenen Daten Ihrer Mitarbeiter Sie verarbeiten dürfen, können Sie sich jederzeit bei uns melden.

PS: Haben Sie schon die Einwilligung Ihrer Mitarbeiter für den innerhalb des Unternehmens veröffentlichten Geburtstagskalender eingeholt?

 

 

Bahar Beyaz

Rechtsanwältin, Fachanwältin für Internationales Wirtschaftsrecht

Marcus Büscher

Partner, Rechtsanwalt, Fachanwalt für Handels- und Gesellschaftsrecht

Expert:innen zu diesem Thema

Keine passenden Personen gefunden.

Das könnte Sie auch interessieren

  • Influencer:innen und andere Content-Creator:innen verdienen Geld mit medialer Aufmerksamkeit. Selbstverständlich haben das auch die Finanzbehörden im Blick. Informieren Sie sich bei uns über die steuerliche Behandlung von Influencer:innen und anderen Content-Creator:innen. Als Content-Creator:innen gelten Blogger:innen, Influencer:innen, Podcaster:innen und Youtuber:innen. Im [...]

    Büsra Karadag

    05. Nov 2020

  • Sie haben einen neuen Mitarbeiter eingestellt und bitten uns, diesen in der nächsten Lohnabrechnung zu berücksichtigen. Dem ein oder anderen von Ihnen graut es schon jetzt vor dem Fragebogen der hierzu auszufüllen ist. So viele Fragen, die sich von Ihnen [...]

    Bruno Höveler

    23. Jun 2020

  • Abbildung eines digitalen Dokuments mit einer Wirtschafts-Identifikationsnummer (W-IdNr.), bestehend aus dem Länderkürzel „DE“ und einer Zahlenfolge.

    Ab 1. November 2024 soll in Deutschland die Wirtschafts-Identifikationsnummer (W-IdNr.) eingeführt werden. Diese neue Identifikationsnummer soll dazu beitragen, Verwaltungsprozesse zu vereinfachen und die Konsistenz von Daten zu erhöhen. Hier erfahren Sie alles Wesentliche zur bevorstehenden Einführung der W-IdNr. und was [...]

    Lars Rinkewitz

    11. Jul 2024