DSGVO-Verstoß: Beendet Millionenbußgeld den Abhör-Skandal?

"2020 wird das Jahr der Kontrollen und Bußgelder. Die Bußgelder werden sich an den zuletzt verhängten Summen (10 und 14,5 Millionen EUR) orientieren." Aussagen, die die Aufsichtsbehörden im vergangenen Jahr mit Blick auf das bevorstehende getätigt haben. Mittlerweile ist über ein dreiviertel Jahr vergangen und es war ruhig. Ruhig war es zumindest mit Blick auf die verhängten Bußgelder. Möglicherweise lag es an der anhaltenden COVID-19-Pandemie und der damit verbundenen wirtschaftlichen Krise. Doch macht der Datenschutz wirklich vor einer Pandemie halt?

Das Jahr 2020 ist bisher ein sehr aufregendes Jahr - ein Virus legt die Welt lahm und wir müssen beginnen, gewisse Strukturen und Gewohnheiten umzudenken. Einrichten von Homeoffice-Plätzen, das Suchen von geeigneten Videokonferenz-Tools und dabei ganz allgemein die Digitalisierung im eigenen Unternehmen vorantreiben. Alle diese Punkte fordern einen hohen Schutz der personenbezogenen Daten. Denn je weiter die Digitalisierung voranschreitet, um so mehr personenbezogene Daten kommen in Umlauf, desto mehr Schutzmaßnahmen müssen für diese getroffen werden. Ein Kreislauf, der sicherlich nie enden wird. So entstehen viele neue Prozesse. Prozesse, die nach Datenschutz schreien und dazu kommt die Ankündigung der Aufsichtsbehörden. Es scheint als könnte das Jahr 2020 ein lehrreiches Jahr für den Datenschutz und vor allem für die Unternehmen, Organisationen und Vereine werden.

Ein kurzer Jahresrückblick

Unser kurzer, eingeschobener Jahresrückblick startet auch direkt im Januar. In der Nacht vom 31. Januar zum 1. Februar 2020 hat das Vereinigte Königreich die EU verlassen. Eine folgenreiche Entscheidung, schließlich greift jedes siebte Unternehmen auf Dienstleister aus dem Vereinigten Königreich zurück. Im Mai sprach der BGH sein abschließendes Planet49-Urteil - Sie erinnern sich sicherlich. Seitdem tauchen unzählige Cookie-Banner auf Webseiten auf und Sie dürfen sich jedes Mal aufs Neue für die Zustimmung oder Ablehnung der Cookies entscheiden. In Sachen Bußgeldbescheide war es bis zum 30. Juni ruhig. An diesem Tag verhängte die Aufsichtsbehörde Baden-Württemberg ein Bußgeld in Höhe von 1,2 Millionen EUR gegen die Allgemeine Ortskrankenkasse (AOK). Grund für das Bußgeld war die zweckentfremdende Nutzung von Gewinnspiel-Daten für die Gewinnung von Neukunden. Im Juli kippte der EuGH das EU-US-Privacy-Shield, nachdem der österreichische Jurist Maximilian Schrems geklagt hatte. Für den Einsatz von US-Dienstleister benötigen Sie ab sofort eine neue Rechtsgrundlage. Standardvertragsklauseln sind nicht unbedingt zu empfehlen, denn diese könnten in ferner Zukunft ebenfalls gekippt werden.

Die Handlungen und gesprochenen Urteile können nicht einfach nur hingenommen werden. Für die Unternehmen ist das Jahr 2020 ein Mammutsprojekt. Neben den eigenen Herausforderungen müssen auch im Bereich Datenschutz & Datensicherheit neue Lösungen gefunden werden. Wir befürworten alle Entscheidungen der Gerichte. In unseren Augen hätten diese Entscheidungen auch schon deutlich früher getroffen werden können, wissen aber gleichzeitig auch um die Berge an bevorstehenden Aufgaben Bescheid.

Bleibt da noch Platz für eine Bußgeldwelle?

35,3 Millionen EUR Strafe für H&M

Der Bußgeldbescheid gegen die AOK war der erste und zunächst letzte Bescheid in diesem Jahr. Dies sollte sich aber am Morgen des 1. Oktobers ändern. Die Hamburger Datenschutzbehörde hat via Pressemitteilung verlauten lassen, dass sie gegenüber dem Moderiesen einen Bußgeldbescheid in Höhe von 35,3 Millionen EUR erlassen haben.

BOOM.

Damit wurde das bisher höchste deutsche Bußgeld verhängt.

Grund für das Bußgeld waren die ausführlichen Personalakten, die der Konzern im Jahr 2014 einführte. So hat dieser in großem Umfang private Lebensumstände seiner Mitarbeiter dokumentiert. Neben der Erfassung der Urlaubs- und Krankentage (diese sind für die Abrechnung bei jedem Unternehmen erforderlich) wurden die Mitarbeiter nach Abwesenheit zu persönlichen Gesprächen eingeladen, in denen sie über Urlaubserlebnisse, Krankheitssymptome und Diagnosen sprechen sollten. Der Inhalt des Gesprächs wurde niedergeschrieben und der Personalakte beigefügt. Neben dem persönlichen Austausch fanden auch weitere Aufzeichnungen zum Privatleben der Mitarbeiter (Partnerschaft und familiäre Probleme, religiöse Bekenntnisse, politische Ansichten, etc.) statt, die die Führungskräfte dem Flurfunk entnehmen konnten. Gespeichert wurde das Ganze in einer digitalen Personalakte, die anschließend einem Kreis von 50 Führungskräfte zugänglich gemacht wurde.

Ich hoffe, Sie suchen jetzt nicht nach einer Rechtsgrundlage für dieses Verhalten oder sehen in dem Modekonzern einen interessierten Arbeitgeber. Das hier Verstöße gegen das Datenschutz- und Arbeitsrecht vorliegen, liegen auf der Hand.

Wie kam man hinter diesen Abhör-Skandal?

Ein Servicecenter in Nürnberg hatte im Oktober des letzten Jahres Probleme mit seiner IT. Die Datensätze waren so für einige Stunden unternehmensweit abrufbar und das Unternehmen musste sich mittels Pressemitteilungen erklären. Folge dessen wurde natürlich auch die zuständige Aufsichtsbehörde hellhörig und leitete ihre Untersuchungen ein. Am 1. Oktober 2020 fanden die Untersuchungen ein jähes Ende und die Aufsichtsbehörde Hamburg verhängte das Bußgeld in Höhe von 35,3 Millionen EUR gegen den Modekonzern H&M.

Nice to know: Der Vorfall ereignete sich zwar in Nürnberg, allerdings hat die Gesellschaft H&M Hennes & Mauritz Online Shop A.B. & Co. KG ihren Sitz in Hamburg. Entscheidend für die Zuständigkeit der jeweiligen Aufsichtsbehörde ist der Unternehmenssitz, so dass der Hamburger Beauftragte für Datenschutz und Informationssicherheit für die Datenschutzverstöße dieser Gesellschaft zuständig ist.

Das Unternehmen hat innerhalb der Frist verlauten lassen, dass sie keinen Einspruch gegen den Bußgeldbescheid einlegen werden. Somit wurde dieser am 15. Oktober 2020 rechtskräftig. Die Modekette will so wahrscheinlich weitere negative Presse vermeiden und Schadensbegrenzung herbeiführen. Doch dabei bleibt eine Frage offen: Wird mit der Zahlung des Bußgeldes der Abhör-Skandal wirklich beendet?

Augen auf: Datenschutz & Datensicherheit betrifft jeden!

Deswegen mein dringender Appell an Sie:

Nehmen Sie Datenschutz & Datensicherheit ernst und treffen Sie geeignete technische und organisatorische Maßnahmen zum Schutz Ihrer Mitarbeiter, Dienstleister, Lieferanten und Kunden.

Hinterfragen Sie sich, ob Sie diese Information zur Erfüllung Ihrer vertraglichen Pflichten wirklich benötigen oder ob Sie für die Daten eine Einwilligung vorliegen haben. Alle personenbezogenen Daten, die über die Zweckerfüllung hinaus gehen, sollten Sie unbedingt vermeiden und gar nicht erst erheben. Sie mögen zwar interessiert sein am letzten Urlaub Ihrer Mitarbeiter und Kunden, aber denken Sie daran, auch Ihnen gehört Privatsphäre!

Leider handelt es sich bei diesem Vorfall nicht um einen Einzelfall. Wir finden solche großflächigen Aufzeichnungen bei Unternehmen, Organisationen und Vereine immer wieder vor. Meist erfolgt dies nicht einmal in böser Absicht sondern eher aufgrund mangelnder Prüfung beim Einsatz von Dienstleistern (z.B. SaaS-Lösungen).

Abschließend lässt sich sagen, dass bisher noch nicht so viele Kontrollen durchgeführt und Bußgelder verhängt wurden wie zunächst angekündigt. Das bedeutet aber nicht, dass man sich zurücklehnen und so langsam in Weihnachtsstimmung übergehen kann. Das Jahr ist noch nicht vorbei und wir sind gespannt, was der Datenschutz im letzten Quartal noch mit sich bringt.