DSGVO, Mitarbeiter & hohe Strafen

Über die H&M Hennes & Mauritz Online Shop A.B. & Co KG – besser bekannt schlicht als „H&M“ wurde in Deutschland erst kürzlich eine bemerkenswerte Geldstrafe von rund € 35.000.000,00 verhängt – was ca. 1% des Jahresumsatzes dieses Unternehmens in Deutschland entsprach.

Wofür? Dafür, dass H&M eine beträchtliche Anzahl an (privaten) Informationen betreffend der eigenen Mitarbeiter gesammelt hatte. Darunter beispielsweise Informationen zu Urlaubsdestinationen oder Gesundheitsinformationen (Diagnosen) im Falle eines Krankenstandes, zudem interne Vermerke betreffend die persönliche Situation und familiäre Herausforderungen.

Eine systematische Erhebung und Verarbeitung derartiger Daten mag in vielen Unternehmen so zwar nicht stattfinden – entsprechende Notizen im Personalakt sind jedoch in der täglichen Praxis keine Seltenheit. Diese Verwaltungsstrafe sollte daher jedem Unternehmen einmal mehr vor Augen führen, dass die ein oder andere Nachfrage betreffend persönlicher Lebensumstände eines Mitarbeiters datenschutzrechtlich kein Kavaliersdelikt darstellt, sondern tatsächlich eine Datenschutzverletzung begründen kann.

Auch wenn es im Alltag hilfreich sein mag, gewisse Details über seine Mitarbeiter zu wissen, so kann sich das spätestens bei der Beendigung des Dienstverhältnisses als Bumerang erweisen. In den letzten Jahren sind es nicht zuletzt derartige Details, die im Zuge eines arbeitsrechtlichen Prozesses zu Tage treten und dort als Druckmittel wegen der arbeits- und datenschutzrechtlichen Verarbeitung verwendet werden.

Der Themenkreis Mitarbeiter und Datenschutz sollte dementsprechend nicht auf die leichte Schulter genommen werden. Stellen Sie sich als Unternehmer folgende Fragen:

- Vermeide ich das Sammeln von Informationen über meine Mitarbeiter, die über die dienstvertraglich relevanten Daten hinausgehen?

- Habe ich die Privatnutzung der betrieblichen E-Mail-Adresse schriftlich untersagt?

- Habe ich meine Mitarbeiter über die betriebliche Datenverarbeitung gem. Art. 13 DSGVO ausreichend informiert?

- Habe ich eine Rechtsgrundlage für die Übermittlung von Daten an verbundene Unternehmen (insb. im Konzernverbund)?

- Lösche ich Daten meiner Mitarbeiter regelmäßig gemäß einem betriebsinternen Löschkonzept?

- Habe ich meinen Mitarbeitern die Pflicht zur Vertraulichkeit und zum Datenschutz gem. §6 DSG überbunden?

- Habe ich mit meinen Mitarbeitern (oder dem Betriebsrat) eine Vereinbarung zum Einsatz von Kontrollsystemen (z.B. Firewall, GPS) oder für den Einsatz von Personaldatensystemen (z.B. elektronischer Personalakt) vereinbart?

- Habe ich verboten, dass betriebliche Daten auf privaten Endgeräten verarbeiten werden (z.B. Outlook am Privathandy)?

Sollten Sie auch nur eine dieser Fragen mit „Nein“ beantworten, ist ein kritischer Blick auf den eigenen Umgang mit Mitarbeiterdaten zu werfen – denn dann liegt möglicherweise eine rechtswidrige Datenverarbeitung vor. In diesem Fall wäre jedoch vorbeugen sicherlich vorteilhafter als „heilen“ – denn das ist ohne entsprechende finanzielle Mittel gar nicht so leicht möglich. So wurde H&M konkret von der Behörde sogar explizit gelobt, freiwillig Schadenersatz an die eigenen Mitarbeiter geleistet zu haben - € 35 Millionen gab es aber dennoch als ergänzende Lernhilfe.

Auch wenn es nicht gleich € 35 Millionen sind – Strafen wg. Datenschutzverletzungen und die Auseinandersetzung mit streitbaren Mitarbeitern können schnell unangenehm und kostspielig werden. Es ist daher durchaus zu empfehlen, die nahenden und möglicherweise coronabedingt etwas ruhigeren Herbst- und Wintermonate dazu zu nutzen, sich mit dem Thema Mitarbeiterdatenschutz näher auseinanderzusetzen! Erfahrungsgemäß birgt ein routinemäßiger Blick auf das eigene Personalwesen ohnehin viele Vorteile!  

Ein Beitrag des Datenschutzbeauftragten der Firma INKO Inkasso GmbH

Mag. Philipp Summereder