Gegen das Unternehmen H&M (Hennes & Mauritz Online Shop A. B. & Co. KG) wurde eine neue Rekordgeldbuße in Höhe von 35,3 Millionen Euro wegen einer Datenschutzverletzung verhängt.
Schwere Missachtung des Beschäftigtendatenschutzes
Der Bußgeldbescheid wurde laut Pressemitteilung des zuständigen Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit gegen H&M erlassen, weil Krankheitssymptome und -diagnosen, religiöse Bekenntnisse und familiäre Probleme der Mitarbeiter*innen eines von H&M betriebenen Servicecenters erfasst, dauerhaft gespeichert und bis zu 50 Führungskräften zugänglich gemacht wurden. Prof. Dr. Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, sprach von einer „schweren Missachtung des Beschäftigtendatenschutzes“.
Zuvor Rekord-Bußgeld gegen Deutsche Wohnen in Höhe von 14,5 Millionen Euro
Das aktuelle Bußgeld ist das bisher höchste in Deutschland verhängte Bußgeld. Zuvor war das gegen die Deutsche Wohnen SE von der Berliner Datenschutzbeauftragten verhängte Bußgeld in Höhe von rund 14,5 Millionen Euro der „Spitzenreiter“. Das Unternehmen hatte laut Pressemitteilung Daten der Mieter*innen, beispielsweise zu persönlichen und finanziellen Verhältnissen (z.B. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeitsverträgen), gespeichert. Eine Prüfung, ob eine Speicherung zulässig oder erforderlich war, sei nicht erfolgt. Auch nachdem die Aufsichtsbehörde eine Empfehlung zur Umstellung des Archivsystems ausgesprochen habe, hätten die vorgenommenen Maßnahmen des Unternehmens eineinhalb Jahre später nicht zur Herstellung eines rechtmäßigen Zustands geführt.
Aber auch etwas geringere Bußgelder, wie das gegen die AOK Baden-Württemberg verhängte Bußgeld in Höhe von circa 1,2 Millionen Euro, können die Unternehmensfinanzen erheblich in Mitleidenschaft ziehen. In diesem Fall hatte die AOK laut Pressemitteilung Daten von mehr als 500 Gewinnspielteilnehmern, die nicht in die Verarbeitung ihrer Daten zu Werbezwecken eingewilligt hatten, genau zu diesen Zwecken verwendet.
Bußgeldbemessung – Diese Kriterien beeinflussen die Höhe eines Bußgelds
Nach Art. 83 Abs. 5 lit. d der Datenschutzgrundverordnung („DSGVO“) kann ein Verstoß gegen die Vorschriften des Beschäftigtendatenschutzes mit einem Bußgeldrahmen von bis zu 20 Millionen EUR bzw. 4 % des weltweiten Jahresumsatzes (je nachdem, welcher der Beträge höher ist) sanktioniert werden. Dabei gilt der Grundsatz, dass eine Geldbuße im Einzelfall wirksam, verhältnismäßig und abschreckend sein muss (Art. 83 Abs. 1 DSGVO).
Das Konzept der Datenschutzkonferenz zur Bußgeldbemessung in Verfahren gegen Unternehmen (2019) soll den Aufsichtsbehörden dabei Anhaltspunkte geben, inwiefern Faktoren wie Unternehmensgröße und Jahresumsatz Berücksichtigung finden können.
Inhaltliche Kriterien, die die Aufsichtsbehörden bei der Bußgeldbemessung berücksichtigen, sind in Art. 83 Abs. 2 DSGVO aufgelistet. Dabei handelt es sich z.B. um
- Art, Schwere und Dauer des Verstoßes,
- Art, Umfangs und Zweck der betreffenden Verarbeitung,
- Zahl der von der Verarbeitung betroffenen Personen,
- Ausmaß des erlittenen Schadens,
- Art der betroffenen personenbezogenen Daten,
- Getroffene technisch-organisatorische Maßnahmen,
- Maßnahmen des Unternehmens, den entstandenen Schaden zu mindern,
- Kooperationsbereitschaft mit der Aufsichtsbehörde bei der Aufklärung des Verstoßes.
Data Breach – Konsequente Meldungen können sich positiv auswirken
Ebenfalls Berücksichtigung finden jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, darunter auch frühere Verstöße gegen Datenschutzvorschriften. So kann eine gewisse Zahl gemeldeter Datenschutzverstöße einerseits den Eindruck erwecken, dass ein Unternehmen keine ausreichenden Maßnahmen zum Schutz gegen Datenschutzverletzungen trifft. Andererseits ist bei größeren Unternehmen – insbesondere bei datengetriebenen Geschäftsmodellen – sehr wahrscheinlich, dass auf regelmäßiger Basis kleinere Data Breaches vorkommen. So kann zwar das Risiko einer Datenschutzverletzung durch technisch-organisatorische Maßnahmen erheblich gesenkt werden, in den meisten Fällen verbleibt aber dennoch ein Restrisiko.
Dieser Realität verschließen sich auch die Aufsichtsbehörden nicht. So kann der offene Umgang mit Datenschutzverstößen nach unserer Erfahrung in der Beratungspraxis – auch wenn diese nur kleinerer Natur sind – durchaus positiv gewertet werden. Zeigt ein Unternehmen selbst bei kleineren Verstößen die Bereitschaft, Konsequenzen zu ziehen und die eigenen Strukturen und Konzepte stetig zu verbessern, hat dieses transparente und konstruktive Vorgehen das Potenzial, auch die Bewertung durch die Aufsichtsbehörden positiv zu beeinflussen, wenn es zu einem schwerwiegenderen Verstoß kommt.
Professionelle Zusammenarbeit beim Data Breach wird belohnt
Die Vorbereitung auf einen Data Breach zahlt sich im Ernstfall ebenfalls aus. Liegt zu dem Zeitpunkt, zu dem eine Datenschutzverletzung intern bekannt wird, ein Konzept vor, auf dessen Basis zumindest interne Aufklärung und Meldung bei der Aufsichtsbehörde trotz des hohen Zeitdrucks – Meldefrist: 72 Stunden – kontrolliert erfolgen, ist viel gewonnen. Selbst die Klärung der genauen Zuständigkeiten vorab kann eine erhebliche Erleichterung bedeuten, die Raum für die positiv bewertete Kooperation mit den Aufsichtsbehörden lässt. Dabei sollte auch nicht vergessen werden, dass Angriffen auf Datenbestände von außen häufig gezielt am Wochenende erfolgen. So kommt es in der Praxis häufig dazu, dass nur noch der darauffolgende Montag zur sachgerechten Aufklärung und Meldung des Vorfalls verbleibt.
Obwohl bei der Deutsche Wohnen eine Empfehlung der Aufsichtsbehörde eineinhalb Jahre vor dem Erlass des Bußgeldes zur Umstellung des Archivsystems nicht hinreichend umgesetzt worden war, berücksichtigte die Aufsichtsbehörde bußgeldmildernd, dass das Unternehmen erste Maßnahmen mit dem Ziel der Bereinigung des rechtswidrigen Zustandes ergriffen und formal gut mit der Aufsichtsbehörde zusammengearbeitet hatte. Die AOK Baden-Württemberg wiederum stellte unmittelbar nach Bekanntwerden der Datenschutzverletzung alle vertrieblichen Maßnahmen, rief eine Task Force für Datenschutz im Vertrieb ins Leben und überarbeitete interne Prozesse und Kontrollstrukturen. Neben diesen Maßnahmen wurde hier die konstruktive Kooperation mit der Aufsichtsbehörde zu Gunsten der AOK berücksichtigt.
Diese Kooperation wurde auch bei H&M positiv berücksichtigt. So folgte das Unternehmen laut Pressemitteilung des Hamburgische Beauftragte für Datenschutz und Informationsfreiheit der Aufforderung der Aufsichtsbehörde, die betroffenen gespeicherten Beschäftigtendaten „einzufrieren“ und den Datensatz herauszugeben. Außerdem entschuldigte sich die Unternehmensleitung ausdrücklich bei den betroffenen Beschäftigten, der Vorschlag der Aufsichtsbehörde zu einer finanziellen Kompensation der Betroffenen wurde befolgt und es wurde ein umfassendes Datenschutzkonzept vorgelegt. In diesem Konzept wurde ein Datenschutzkoordinator neu berufen, monatliche Datenschutz-Statusupdates wurden eingeführt und das Auskunfts-Konzept wurde überarbeitet. Außerdem soll der Whistleblower-Schutz verstärkt an die Beschäftigten kommuniziert werden. Prof. Dr. Johannes Caspar hob im Nachgang hervor: „Ausdrücklich positiv ist das Bemühen der Konzernleitung zu bewerten, die Betroffenen vor Ort zu entschädigen und das Vertrauen in das Unternehmen als Arbeitgeber wiederherzustellen.“
Anders als bei der Deutsche Wohnen und der AOK Baden-Württemberg waren bei H&M Beschäftigte die von der Datenschutzverletzung Betroffenen. Auch dieser Umstand fand Berücksichtigung. So sei laut Prof. Dr. Johannes Caspar der Wille wesentlich gewesen, den betroffenen Personen den Respekt und die Wertschätzung zukommen zu lassen, die sie als abhängig Beschäftigte in ihrem täglichen Einsatz für ihr Unternehmen verdienten. Diese Aussage macht deutlich, dass das Beschäftigtenverhältnis eine ganz eigene Dynamik aufweist.
Beschäftigtendatenschutz – einige Besonderheiten
Trotz dieser von Abhängigkeit geprägten besonderen Beziehung des Beschäftigten zu seinem Arbeitgeber enthält die DSVGO keine speziellen Regelungen zum Beschäftigtendatenschutz. Allerdings haben die Mitgliedsstaaten die Möglichkeit, die Regelungen der DSGVO für Beschäftigte zu spezifizieren. In Deutschland ist eine solche Konkretisierung in § 26 Bundesdatenschutzgesetz („BDSG“) enthalten. Ein eigenes Gesetz zum Beschäftigtendatenschutz, wie laut Koalitionsvertrag (2018) angestrebt, wurde bislang nicht verabschiedet.
§ 26 BDSG enthält insbesondere die in der Mehrheit der Fälle zur Anwendung kommende Rechtsgrundlage für Datenverarbeitungen. So ist nach § 26 Abs. 1 S. 1 BDSG die Verarbeitung der personenbezogenen Daten von Beschäftigten zulässig, soweit sie für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Dabei muss im Wege einer Verhältnismäßigkeitsprüfung im Einzelfall genau überprüft werden, ob die Datenverarbeitung für einen dieser Zwecke geeignet und erforderlich ist und ob der Zweck in einem angemessenen Verhältnis zur mit der Verarbeitung einhergehenden Beeinträchtigung des Beschäftigten steht.
Einwilligung – kaum nutzbar im Beschäftigtenverhältnis
Die häufig in anderen Kontexten zur Rechtfertigung von Datenverarbeitungen herangezogene Einwilligung hat im Beschäftigungsverhältnis kaum eine Bedeutung. So muss eine Einwilligung nach Art. 7 DSGVO freiwillig erteilt sein, um Rechtswirkungen zu entfalten (vgl. auch Anforderungen des § 26 Abs. 2 BDSG). An diesem Kriterium wird es im Beschäftigtenkontext jedoch häufig fehlen. Dies liegt vor allem daran, dass sich Beschäftigte aufgrund der Abhängigkeit von ihrem Arbeitgeber selten in der Lage fühlen werden, ihre Entscheidung frei treffen zu können.
Besondere Regelungen enthält § 26 BDSG auch für Datenverarbeitungen zur Aufdeckung von Straftaten (Abs. 1 S. 2) sowie für die Verarbeitung von besonderen Kategorien personenbezogener Daten, wie den im Fall von H&M u.a. in Frage stehenden Informationen zu Krankheitssymptomen und -diagnosen (Abs. 3).
Einer Datenschutzerklärung, wie sie von Art. 12 ff. DSGVO gefordert wird, bedarf es auch für Beschäftigte. In der Praxis wird diese allerdings häufig nicht mit der allgemeinen Datenschutzerklärung, die regelmäßig auf der Unternehmenswebsite eingesehen werden kann, kombiniert. Vielmehr wählen viele Unternehmen den Weg, Beschäftigten bei der Aufnahme der Tätigkeit eine gesonderte Datenschutzerklärung für Beschäftigte auszuhändigen.
Werden diese (und andere) Besonderheiten des Beschäftigtendatenschutzes nicht befolgt, kann dies – wie im Fall von H&M – kostspielige Folgen haben.
Fazit: Vorbeugung und Kooperation zur Abwendung von Bußgeldern
Anhand der geschilderten Beispiele wird deutlich, dass eine gute Vorbereitung und der professionelle Umgang mit Datenschutzverstößen maßgeblich für die Entscheidung sein können, dass kein oder nur ein geringes Bußgeld verhängt wird.
Unternehmen sollten deshalb sicherstellen, dass sie gut auf einen Data Breach vorbereitet sind. Wesentlich ist hierbei ein interner Prozess zum Umgang mit entsprechenden Vorfällen, der im Ernstfall nicht nur Zeit sparen (72 h-Meldefrist), sondern auch den Aufsichtsbehörden vorgelegt werden kann, um den professionellen Umgang mit Data Breaches zu belegen.
Darüber hinaus bleibt mit Spannung abzuwarten, wie sich die Bußgeldbemessungspraxis der Aufsichtsbehörden in den kommenden Monaten weiterentwickelt – nach dem Rekord-Bußgeld gegen H&M trotz hoher Kooperationsbereitschaft erscheint ein neuer Bußgeldrekord nur eine Frage der Zeit.
Dieser Beitrag beruht auf den Pressemitteilungen der jeweils zuständigen Aufsichtsbehörden:
- Die Pressemitteilung des Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) vom 01.10.2020 in Sachen H&M finden Sie hier.
- Die Pressemitteilung des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg vom 30.06.2020 in Sachen AOK Baden-Württemberg ist hier verfügbar.
- Die Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationssicherheit vom 05.11.2019 in Sachen Deutsche Wohnen kann hier aufgerufen werden.
Der Beitrag enthält Annahmen und Interpretationen. Für seine Inhalt wird keine Gewähr übernommen und er stellt keine rechtliche Beratung dar.