Die Datenschutzgrundverordnung (DS-GVO) macht nicht nur genaue Vorgaben zur Verarbeitung personenbezogener Daten, sie enthält auch Bußgeldvorschriften zur Sanktionierung bei Verstößen hiergegen. Die seitens der Aufsichtsbehörden zu erlassenden Geldbußen dienen dabei nicht der Schadenskompensation oder Gewinnabschöpfung, sondern sollen insbesondere auch abschreckend sein, um die Befolgung der datenschutzrechtlichen Vorgaben abzusichern. Daher können nach der DS-GVO (Art. 83 Abs. 5) Geldbußen bis zu einer Höhe von 20 Millionen Euro oder bei einem Unternehmen bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs festgesetzt werden.
Rekordbußgeld von mehr als 35 Millionen Euro
Ein derart hoher Bußgeldbescheid wurde nunmehr durch den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) verhängt, wie in der Pressemitteilung vom 1.10.2020 ausgeführt wird (hier abrufbar). Nach dem dort dargestellten Sachverhalt überwachte das Unternehmen mit Sitz in Hamburg in einem in Nürnberg ansässigen Service-Center die eigenen Mitarbeiter seit dem Jahr 2014. Unter anderem sollen Urlaubs- und Krankheitsabwesenheiten und die Gründe einschließlich Diagnose genau erfasst worden sein, wobei auch konkrete Urlaubserlebnisse festgehalten wurden. Zudem soll das Unternehmen auch Inhalte von Gesprächen der Vorgesetzten mit Mitarbeitern erfasst haben, die von harmlosen Details bis hin zu familiären Problemen oder religiösen Bekenntnissen gereicht haben sollen. Die Erkenntnisse sollen sodann gespeichert und für bis zu 50 weitere Führungskräfte sichtbar gewesen sein. Für diese Handlungen wurde gegen das Unternehmen ein Bußgeldbescheid von EUR 35.258.707,95 erlassen.
Datenerhebung nur, soweit erforderlich
Das Vorgehen des Unternehmens wurde damit von der Datenschutzbehörde als datenschutzrechtswidrig qualifiziert. „Die Verarbeitung von personenbezogenen Daten bedarf nach der Datenschutzgrundverordnung stets einer Erlaubnis. Ohne eine solche Erlaubnis ist das Verarbeiten und Speichern von personenbezogenen Daten unzulässig“, so unser Arbeitsrechtler Prof. Dr. Michael Fuhlrott.
Ein derartiger Erlaubnistatbestand könne sich insbesondere aus dem Gesetz ergeben oder in Form einer freiwillig erteilten Zustimmung des Arbeitnehmers zu erblicken sein. „Für das Arbeitsverhältnis enthält das Bundesdatenschutzgesetz hier spezielle Regelungen“, so Fuhlrott. „Eine Verarbeitung von personenbezogenen Daten ist danach aber nur zulässig, wenn diese für die Durchführung des Arbeitsverhältnisses erforderlich sind. Das Speichern von besonders sensiblen Daten wie Gesundheitsdaten ohne konkreten Anlass und ohne Information des Arbeitnehmers ist danach regelmäßig verboten“, so Fuhlrott. Denn: „Für die Durchführung des Arbeitsverhältnisses ist es unerheblich, was der Arbeitnehmer in seinem Urlaub erlebt oder ob dieser familiäre Probleme hat“.
Grundsatz: Keine heimliche Überwachung
Erschwerend hinzu komme auch die Heimlichkeit der Datenerhebung. Nach der Datenschutzgrundverordnung ist der Arbeitnehmer über die Datenerhebung zu informieren.
„Die heimliche Überwachung von Arbeitnehmern ist nur ausnahmsweise zulässig. Sie setzt einen konkreten Verdacht einer schweren Pflichtverletzung oder Straftat des Arbeitnehmers voraus. Ist dies der Fall, darf der Arbeitgeber im Einzelfall auch heimliche Überwachungsmaßnahmen vornehmen, also etwa einen Detektiv beauftragen oder die Emails des Arbeitnehmers sichten“, so Fuhlrott.
Ein anlassloses heimliches Sammeln von Informationen ist hiernach aber unter keinen Umständen gerechtfertigt.
Bußgeld: Rekordsumme
Die aktuell verhängte Geldbuße ist von ihrer Höhe her insgesamt und auch für einen Verstoß bei Beschäftigtendaten bislang einzigartig. Sie übersteigt das bislang gegen ein Wohnungsverwaltungsunternehmen wegen datenschutzrechtswidrigen Umgangs mit den in Mieterakten enthaltenen Daten verhängte Bußgeld von 14.5 Millionen um mehr als das Doppelte.
Verwundern braucht das hohe Bußgeld indes nicht: Die Datenschutzbehörden haben sich zur Vereinheitlichung der Bemessung von Geldbußen Ende 2019 abgestimmt und hierbei fünf Bemessungskriterien entwickelt. Maßgebliche Faktoren für die Bebußung sind danach die Größe des Unternehmens, dessen mittlerer Jahresumsatz, seine wirtschaftlichen Kennzahlen, die Schwere der Tatumstände sowie weitere täterbezogene und sonstige noch nicht berücksichtigte Umstände.
„Das aktuell verhängte Bußgeld verdeutlicht einmal mehr die Bedeutung des Beschäftigtendatenschutzes. Unternehmen sind tunlichst beraten, die internen Prozesse darauf zu prüfen. Personenbezogene Daten dürfen nur verarbeitet werden, wenn dies erforderlich ist. Nachlässigkeiten in diesem Bereich können gravierende Konsequenzen zur Folge haben“, so Fuhlrott.
Die hier wiedergegebene und bearbeitete Pressemitteilung des Verbands deutscher Arbeitsrechtsanwälte vom 1.10.2020 können Sie hier im Volltext abrufen.
Ein Interview unseres Arbeitsrechtlers Prof. Dr. Michael Fuhlrott in der LegalTribuneOnline vom 1.10.2020 finden Sie hier.