22. Oktober 2020

Was Sie nach dem DSGVO-Verstoß von H&M in Ihrem Unternehmen beachten sollten

Kategorien: Unkategorisiert

Inhaltsverzeichnis

Ein DSGVO-Verstoß von H&M kostet das Unternehmen 35 Millionen Euro. Worauf müssen Sie in Ihrem Unternehmen achten, um DSGVO-konform zu handeln?

Bei der Strafe gegen H&M handelt es sich um das bisher höchste in Deutschland verhängte Bußgeld. Die Hamburger Datenschutzbehörde sanktionierte den Verstoß. Europaweit gab es bislang nur in Frankreich eine höhere Bestrafung für ein Unternehmen. Google musste im vergangenen Jahr 50 Millionen Euro zahlen. Die französische Datenschutzbehörde sprach die Rekordstrafe aus.

Der Verstoß von H&M war aufgefallen, weil die Daten durch einen IT-Fehler im Oktober des vergangenen Jahres kurzzeitig für alle Mitarbeiter im Unternehmen einsehbar waren.

Der Fall H&M besitzt Signalwirkung. Wir fassen zusammen, was Sie zur DSGVO wissen sollten und wie Sie in Ihrem Unternehmen DSGVO-konform handeln.

Infos zur Datenschutzgrundverordnung

Mit der Datenschutzgrundverordnung (DSGVO) gelten in der Europäischen Union seit dem 25. Mai 2018 für den Umgang von Unternehmen mit den Daten ihrer Mitarbeiter strengere Vorgaben als zuvor.

Grundsätzlich ist sie eine einheitliche Regelung zum Schutz von personenbezogenen Daten. Insbesondere Unternehmen haben durch die DSGVO weitreichende Pflichten. Auf Verstöße drohen hohe Strafen. Die Beispiele H&M oder Google zeigen, dass die Datenschutzbehörden solche Verstöße entschlossen ahnden.

Aber auch die Verbraucherrechte wurden durch die DSGVO ausgeweitet. Nun existiert gegenüber Unternehmen neben dem bisherigen Recht auf Auskunft und Löschung der Daten ein Recht auf Datenübertragbarkeit.

Wie H&M gegen die DSGVO verstoßen hat

Das Bußgeld für den DSGVO-Verstoß von H&M verhängte die Hamburger Datenschutzbehörde für das Ausspähen von Mitarbeitern.

Die Gesellschaft mit Sitz in Hamburg betreibt ein Servicecenter in Nürnberg und führte dort umfangreiche Erfassungen privater Lebensumstände der Mitarbeiter durch. Vorgesetzte erfassten Urlaubs- und Krankheitsabwesenheiten auch kurzer Dauer nach Rückkehr in sogenannten “Welcome Back Talks”. Dort hielten sie dann nicht nur konkrete Urlaubserlebnisse der Arbeitnehmer fest, sondern protokollierten auch Krankheitssymptome und Diagnosen.

Zusätzlich eigneten sich einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden an, das von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen reichte. Die Informationen erfassten die Vorgesetzten und speicherten sie digital. So erstellten sie detaillierte Profile, die für bis zu 50 Führungskräfte im Unternehmen einsehbar waren.

Die Profile dienten als Basis für die Bewertung der individuellen Arbeitsleistung und wurden für Personalentscheidungen herangezogen.

„Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte zu einem besonders intensiven Eingriff in die Rechte der Betroffenen.“ – so Prof. Dr. Johannes Caspar, Hamburgs Beauftragter für Datenschutz und Informationsfreiheit.

DSGVO-konformes Handeln in Ihrem Unternehmen

Selbstverständlich ist der Smalltalk in der Teeküche und die Frage nach dem vergangenen Wochenende rechtlich unbedenklich. Doch Unternehmen dürfen diese Gespräche eben nicht protokollieren, um daraus Profile ihrer Mitarbeiter zu erstellen.

Denn Sie dürfen keine Daten Ihrer Mitarbeiter sammeln, die nicht im Zusammenhang mit der im Arbeitsvertrag vereinbarten Tätigkeit stehen. Grundsätzlich können Unternehmen Mitarbeiterdaten nur verarbeiten, wenn diese für die Durchführung des Arbeitsverhältnisses erforderlich sind oder andere berechtigte Interessen des Arbeitgebers für die Verarbeitung sprechen. Selbstverständlich ist hier die Grenze zwischen böswilliger Überwachung und der Dokumentation zwecks Qualitätssicherung sehr schmal.

Neuerungen und Pflichten für Unternehmen nach der DSGVO

Die Datenschutzgrundverordnung nimmt Unternehmen stärker in die Pflicht. Für deutsche Unternehmen änderte sich zunächst erstmal nicht viel, da einige Neuerungen bereits durch die alte Fassung des Bundesdatenschutzgesetzes galten.

Das gilt beispielsweise für die Bestellung eines Datenschutzbeauftragten in Ihrem Unternehmen. Einen solchen schreibt die DSGVO ebenso wie das Bundesdatenschutzgesetz für Unternehmen vor.

Einige Neuerungen und Pflichten gelten für Unternehmen nach der DSGVO allerdings dennoch, wenn sie Daten innerhalb der EU erheben:

  • Anwendungsbereich: Neu ist, dass die DSGVO nicht nur für Unternehmen gilt, die ihren Sitz in der EU haben. Auch außereuropäische Unternehmen, die auf dem europäischen Markt agieren oder dort Daten von EU-Bürgern verarbeiten, sind an sie gebunden.
  • Sanktionen: Geldbußen bei Nichteinhaltung können bis zu 4 Prozent des gesamten Jahresumsatzes betragen.
  • Privacy by Design: Technische Maßnahmen zum Schutz personenbezogener Daten sollen bereits Teil der Entwicklung von Vorgängen sein. So wird Datenschutz zum Standard.
  • Privacy by Default: Voreinstellungen in Unternehmen sollen datenschutzfreundlich sein. Datenschutz wird so ohne Anpassungen von vornherein gewährt.
  • Meldepflicht: Eine Verletzung, etwa durch eine Datenpanne, müssen Unternehmen innerhalb von 72 Stunden melden. Die Pflicht besteht allerdings nicht, wenn die Verletzung “voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt”.

Unsere Einschätzung

Für die meisten Unternehmen besteht zunächst kein Grund zur Panik. Dennoch zeigen die Fälle H&M oder Google, dass die zuständigen Behörden bei Verstößen durchgreifen.

Sollten Sie unsere Unterstützung bei der Umsetzung der DSGVO in Ihrem Unternehmen benötigen oder Zweifel haben, inwieweit und welche personenbezogenen Daten Ihrer Mitarbeiter Sie verarbeiten dürfen, können Sie sich jederzeit bei uns melden.

PS: Haben Sie schon die Einwilligung Ihrer Mitarbeiter für den innerhalb des Unternehmens veröffentlichten Geburtstagskalender eingeholt?

 

 

Bahar Beyaz

Bahar Beyaz

Rechtsanwältin, Fachanwältin für Internationales Wirtschaftsrecht

Marcus Büscher

Marcus Büscher

Partner, Rechtsanwalt, Fachanwalt für Handels- und Gesellschaftsrecht

Tags

DSGVOGroßunternehmenStartups

Expert:innen zu diesem Thema

Keine passenden Personen gefunden.

Das könnte Sie auch interessieren

  • Abbildung eines digitalen Dokuments mit einer Wirtschafts-Identifikationsnummer (W-IdNr.), bestehend aus dem Länderkürzel „DE“ und einer Zahlenfolge.
    Wirtschafts-Identifikationsnummer ab 2024: Wichtige Infos für Unternehmen

    Ab 1. November 2024 soll in Deutschland die Wirtschafts-Identifikationsnummer (W-IdNr.) eingeführt werden. Diese neue Identifikationsnummer soll dazu beitragen, Verwaltungsprozesse zu vereinfachen und die Konsistenz von Daten zu erhöhen. Hier erfahren Sie alles Wesentliche zur bevorstehenden Einführung der W-IdNr. und was [...]

    Lars Rinkewitz

    11. Jul 2024

  • Gesetz zur Umsetzung der CSRD: Ein Überblick über neue Nachhaltigkeitsberichtspflichten für Unternehmen unter Berücksichtigung der DSGVO.
    DSGVO-Auskunftsanspruch gegen das Finanzamt

    Der Bundesfinanzhof (BFH-Urteil vom 12.03.2024, Az. IX R 35/21) hat entschieden, dass die Steuerverwaltung ebenfalls an die Datenschutz-Grundverordnung (DSGVO) gebunden ist. Dieses Urteil gibt eine klare Leitlinie für den Umgang mit personenbezogenen Daten durch Steuerbehörden vor. In diesem Beitrag erfahren [...]

    Esengül Aslan

    28. Jun 2024

  • Effiziente Arbeitszeiterfassung: Umsetzung und Kontrolle für Arbeitgeber:innen
    Effiziente Arbeitszeiterfassung: Umsetzung und Kontrolle für Arbeitgeber:innen

    Erfahren Sie, wie Sie die Vorgaben zur Arbeitszeiterfassung rechtssicher umsetzen und von den Möglichkeiten der Gestaltung profitieren. Pflicht zur Arbeitszeiterfassung: Was das BAG entschieden hat Die Entscheidung des Bundesarbeitsgerichts (BAG) zur verpflichtenden Arbeitszeiterfassung sorgte im Herbst 2022 für Aufsehen. Nun [...]

    Jens Bühner

    01. Feb 2023