Stand 20/10/2020

Die datenschutzrechtliche Aufsichtsbehörde in Hamburg stellte im Fall einer Dokumentation und Speicherung von höchstpersönlichen Daten der Arbeitnehmer eine Verletzung der DSGVO fest und verhängte über ein Bekleidungsunternehmen eine Strafe von rund 35,3 Mio Euro. Die Entscheidung ist rechtskräftig.

Das Bekleidungsunternehmen mit Sitz in Hamburg führte mit seinen Mitarbeitern regelmäßig sog „Welcome-Back“-Gespräche nach jeder – auch kurzzeitigen – Abwesenheit wegen Urlaubs oder Krankenstands. Im Rahmen dieser Gespräche wurde mit den Mitarbeitern unter anderem über konkrete Erlebnisse im Urlaub oder Krankheitssymptome bzw Diagnosen gesprochen.

Darüber hinaus hatten die Vorgesetzten detaillierte Kenntnis über diverse private Umstände bzw Lebensverhältnisse der Mitarbeiter. Davon umfasst waren beispielsweise sehr intime Informationen wie familiäre Probleme oder religiöse Bekenntnisse.

Die genannten Informationen wurden im Unternehmen derart aufgezeichnet und digital gespeichert, dass rund 50 Führungskräfte jederzeit Zugriff auf diese nehmen konnten. Dies zumindest seit dem Jahr 2014. Anhand dieser aufgezeichneten Informationen wurden in der Folge individuelle Profile der jeweiligen Mitarbeiter erstellt, welche in weiterer Folge Einfluss auf dienstliche Maßnahmen bzw Entscheidungen über das Arbeitsverhältnis hatten. Betroffen von dieser Überwachung waren mehrere hundert Mitarbeiter eines Servicecenters in Nürnberg.

Aufgrund eines Systemfehlers im Oktober 2019 waren die Aufzeichnungen ohne Beschränkungen für einige Stunden unternehmensweit einsehbar. Dieser Umstand führte schließlich dazu, dass das datenschutzrechtswidrige Vorgehen des Unternehmens aufgedeckt wurde.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit („HmbBfDI“) erachtete insbesondere die Kombination aus der Ausforschung des Privatlebens in Zusammenhang mit der jeweiligen Tätigkeit der Mitarbeiter als besonders intensiven Eingriff in die Rechte der Betroffenen. Im Verfahren selbst hat das Unternehmen die betroffenen Datensätze offengelegt, an der Aufarbeitung der Geschehnisse mitgewirkt, sodann ein neues Datenschutzkonzept eingeführt und sich ausdrücklich bei den betroffenen Mitarbeitern entschuldigt.

Trotz dieser – laut HmbBfDI – „beispiellosen“ Übernahme der Verantwortung sowie des maßgeblichen Beitrages zur Aufklärung des Sachverhaltes durch das Unternehmen, verhängte der HmbBfDI eine Geldbuße iHv EUR 35.258.707,95. Die Strafe sei angesichts der Schwere der Missachtung des Arbeitnehmerdatenschutzes angemessen und geeignet, das Unternehmen von weiteren Verletzungen der Privatsphäre ihrer Mitarbeiter abzuschrecken.

Sollten Sie zu diesem Thema weitere Fragen haben, steht Ihnen das Team von MOSA Rechtsanwälte jederzeit gerne zur Verfügung.

Judith Morgenstern
Remo Sacherer
und deren Arbeitsrechts-Team

office@mo-sa.at
+43 1 218 13 30-0

#WirGestaltenArbeitsrecht

MOSA Rechtsanwälte
Berggasse 7/5
1090 Wien