Arbeitnehmerdatenschutz: Geldbußen bei Datenschutzverstößen – aktuelle Entwicklungen
Unternehmen, die den Arbeitnehmerdatenschutz missachten oder Daten nicht sicher verarbeiten, haben mitunter Geldbußen in Millionenhöhe zu erwarten. Die Einrichtung eines geeigneten Datenschutz-Managementsystems wird immer wichtiger.
Medial für Aufsehen sorgte vor kurzem die Verhängung einer Geldbuße von rund 35 Mio Euro gegen einen bekannten Modekonzern wegen Ausspähens hunderter Beschäftigter. Der Modekonzern erfasste an einem Standort in Deutschland über mehrere Jahre hinweg private Lebensumstände der Beschäftigten. Unter anderem wurden nach krankheitsbedingten Abwesenheiten so genannte Welcome Back-Gespräche geführt und es wurden die daraus gewonnenen Informationen über Symptome und Diagnosen aufgezeichnet. Darüber hinaus wurden auch gesprächsweise bekannt gewordene Umstände aus dem Privatleben der Beschäftigten, wie etwa familiäre Probleme, aufgezeichnet. Die erhobenen Daten wurden neben einer Auswertung der individuellen Arbeitsleistung genutzt, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten. Dieser Fall veranschaulicht eine besonders schwere Missachtung des Arbeitnehmerdatenschutzes. Insofern erscheint die Höhe der von der Behörde verhängten Geldbuße durchaus nachvollziehbar.
Fehlendes Löschkonzept
Andere prominente Fälle mit Millionenbußgeldern betrafen ua eine deutsche Wohnungsgesellschaft. Obwohl die festgestellten Datenschutzverletzungen keinen unmittelbaren arbeitsrechtlichen Bezug hatten, hätte sich der Fall genauso auch im arbeitsrechtlichen Umfeld ereignen können. Im Fall der Wohnungsgesellschaft wurde eine Geldbuße von 14,5 Mio EUR, rund 1 % des Jahresumsatzes des Unternehmens, verhängt, weil personenbezogene Daten der Mieter länger als notwendig aufbewahrt wurden und das elektronische Archivsystem keine Möglichkeit bot, nicht mehr benötigte Daten zu löschen. Mieterakten mit personenbezogenen Daten wie Bankverbindungen oder finanziellen Selbstauskünften wurden gespeichert, obwohl die Mietverhältnisse längst beendet waren. Im Kern ging es also um den Vorwurf der mangelnden Implementierung und Umsetzung eines Löschkonzepts. Ähnliche Bußgelder könnten daher Arbeitgebern drohen, die Bewerbungsunterlagen oder personenbezogene Daten zu ehemaligen Beschäftigten aufbewahren, ohne dass gesetzliche Aufbewahrungspflichten dies erfordern oder ein sonstiger Rechtsgrund für die weitere Aufbewahrung vorliegt.
Unzureichende technische und organisatorische Maßnahmen
Wegen eines Verstoßes gegen die Pflichten zu sicherer Datenverarbeitung wurde gegen eine gesetzliche Krankenversicherung in Deutschland eine Geldbuße von 1,24 Mio EUR verhängt. Die personenbezogenen Daten von mehr als 500 Gewinnspielteilnehmern wurden unbeabsichtigt ohne deren Einwilligung zu Werbezwecken verwendet. Die getroffenen technischen und organisatorischen Maßnahmen, ua interne Richtlinien und Datenschutzschulungen, die sicherstellen sollten, dass nur Daten solcher Gewinnspielteilnehmer zu Werbezwecken verwendet werden, die zuvor wirksam hierin eingewilligt hatten, erwiesen sich als unzureichend.
Angesichts des hohen Strafrahmens der DSGVO von bis zu 20 Mio EUR oder 4 % des Jahresumsatzes und der auch bereits mehrfach verhängten Geldbußen in Millionenhöhe, wird die datenschutzrechtliche Compliance daher immer wichtiger.
Persönliche Verantwortung der Geschäftsführer und Vorstände
In Österreich wurden zuletzt mehrere von der Datenschutzbehörde gegen Unternehmen verhängte Geldbußen aus formalen Gründen aufgehoben. Der VwGH entschied, dass für die Verhängung einer Geldbuße gegen ein Unternehmen ein zurechenbares schuldhaftes Handeln einer (natürlichen) Person in einer Führungsposition des Unternehmens notwendig ist, die entweder selbst die Datenschutzverletzung begangen hat oder für die mangelnde Überwachung oder Kontrolle verantwortlich gemacht werden kann. Das Straferkenntnis muss die konkret vorgeworfene Tathandlung der (natürlichen) Person genau umschreiben und diese auch namentlich benennen.
In der Praxis hat dies dazu geführt, dass die Datenschutzbehörde nun die Geschäftsführer oder Vorstände des Unternehmens in einem Verwaltungsstrafverfahren wegen Datenschutzverletzungen ausdrücklich als (Mit-)Beschuldigte führt und diese persönlich zur Rechtfertigung auffordert. Dennoch ist anzunehmen, dass die Datenschutzbehörde Geldbußen weiterhin primär über das jeweilige Unternehmen (juristische Person) verhängen wird und idR nicht über die Geschäftsführer oder Vorstände persönlich. Zu erwarten ist, dass sich die Datenschutzbehörde künftig vornehmlich auf ein Überwachungsverschulden bzw Kontrollversagen im Unternehmen stützen wird, da ein solcher Nachweis idR leichter zu erbringen ist, als eine Datenschutzverletzung durch eine aktive Handlung des Führungspersonals.
Wichtigkeit von Datenschutz-Managementsystemen und Dokumentation für Unternehmen
Umso wichtiger wird es für Unternehmen, ein geeignetes Datenschutz-Managementsystem einzurichten und ausreichend zu dokumentieren, dass die internen Prozesse bzw Verarbeitungstätigkeiten im Vorhinein rechtlich geprüft wurden. Falls unternehmensintern keine ausreichende Datenschutzexpertise vorhanden ist, ist dringend anzuraten, entsprechende externe Expertise einzuholen.