Nach einer Mitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) überwachte das Unternehmen (mit Sitz in Hamburg) in einem in Nürnberg ansässigen Service Center seit 2014 die eigenen Mitarbeiter. Unter anderem sollen Urlaubs- und Krankheitsabwesenheiten und die Gründe einschließlich Diagnose genau erfasst worden sein, wobei auch konkrete Urlaubserlebnisse festgehalten wurden.
Zudem soll H&M Inhalte von Gesprächen der Vorgesetzten mit Mitarbeitern erfasst haben, die von harmlosen Details bis hin zu familiären Problemen oder religiösen Bekenntnissen gereicht haben sollen. Die Erkenntnisse sollen sodann gespeichert und für bis zu 50 weitere Führungskräfte sichtbar gewesen sein. Für diese Handlungen wurde gegen das Unternehmen ein Bußgeldbescheid über exakt 35.258.707,95 Euro erlassen.
H&M: Arbeitnehmerüberwachung vs. DSGVO
Das Vorgehen des Unternehmens wurde damit von der Datenschutzbehörde als rechtswidrig qualifiziert. "Die Verarbeitung von personenbezogenen Daten bedarf nach der Datenschutzgrundverordnung stets einer Erlaubnis. Ohne eine solche Erlaubnis ist das Verarbeiten und Speichern von personenbezogenen Daten unzulässig", erinnert Michael Fuhlrott, Fachanwalt für Arbeitsrecht und Professor an der Fresenius Hochschule in Hamburg.
Ein derartiger Erlaubnistatbestand könne sich insbesondere aus dem Gesetz ergeben oder in Form einer freiwillig erteilten Zustimmung des Arbeitnehmers. "Für das Arbeitsverhältnis enthält das Bundesdatenschutzgesetz spezielle Regelungen", so Fuhlrott. "Eine Verarbeitung von personenbezogenen Daten ist danach nur zulässig, wenn diese für die Durchführung des Arbeitsverhältnisses erforderlich sind", weist der Arbeitsrechtsexperte hin.
Das Speichern von besonders sensiblen Daten wie Gesundheitsdaten ohne konkreten Anlass und ohne Information des Arbeitnehmers sei danach regelmäßig verboten. Denn: "Für ein Arbeitsverhältnis ist es unerheblich, was der Arbeitnehmer in seinem Urlaub erlebt oder ob dieser familiäre Probleme hat".
Erschwerend hinzu komme auch die Heimlichkeit der Datenerhebung. Nach der Datenschutzgrundverordnung sei der Arbeitnehmer über die Datenerhebung zu informieren. "Die heimliche Überwachung von Arbeitnehmern ist nur ausnahmsweise zulässig", gibt Fuhlrott zu bedenken. Sie setze einen konkreten Verdacht einer schweren Pflichtverletzung oder Straftat des Arbeitnehmers voraus. Ist dies der Fall, darf der Arbeitgeber im Einzelfall auch heimliche Überwachungsmaßnahmen vornehmen, also etwa einen Detektiv beauftragen oder die E-Mails des Arbeitnehmers sichten. Ein anlassloses heimliches Sammeln von Informationen ist hiernach aber unter keinen Umständen gerechtfertigt.
"Nachlässigkeiten können gravierende Konsequenzen haben"
"Die aktuell verhängte Geldbuße ist von ihrer Höhe her insgesamt und auch für einen Verstoß bei Beschäftigtendaten bislang einzigartig", kommentiert der Arbeitsrechtler. Sie übersteige das bislang gegen ein Wohnungsverwaltungsunternehmen wegen datenschutzrechtswidrigen Umgangs mit den in Mieterakten enthaltenen Daten verhängte Bußgeld von 14,5 Millionen Euro um mehr als das Doppelte.
Dies entspreche allerdings den gesetzgeberischen Vorgaben, so Fuhlrott: "Die Geldbußen nach der Datenschutzgrundverordnung (Art. 83 DSGVO) können immens hohe Summen erreichen." Sie dienten nicht der Kompensation eines entstandenen Schadens oder der Gewinnabschöpfung, sondern sollen abschreckend sein. Die absolute Höhe richte sich nach dem konkreten Unternehmensgewinn und könne im Fall eines Unternehmens von bis zu vier Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden.
Die Datenschutzbehörden haben sich zur Vereinheitlichung der Bemessung von Geldbußen Ende 2019 abgestimmt und hierbei fünf Bemessungskriterien entwickelt, erläutert Fuhlrott. Maßgebliche Faktoren seien demnach die Größe des Unternehmens, dessen mittlerer Jahresumsatz, seine wirtschaftlichen Kennzahlen, die Schwere der Tatumstände sowie weitere täterbezogene und sonstige noch nicht berücksichtigte Umstände.
Das aktuell verhängte Bußgeld verdeutlicht einmal mehr die Bedeutung des Beschäftigtendatenschutzes. "Unternehmen sind tunlichst beraten, die internen Prozesse darauf zu prüfen. Personenbezogene Daten dürfen nur verarbeitet werden, wenn dies erforderlich ist. Nachlässigkeiten in diesem Bereich können gravierende Konsequenzen haben", mahnt der Hamburger Professor.