Login
Login
Banner Online Kompaktkurse für fundiertes Wissen zu neuesten Gesesetzesänderungen und Abrechnungskriterien
Breadcrumb-Navigation
Free

Datenschutz : Von H&M lernen

Im Vergleich mit Maschinen wird die Arbeitsleistung von Beschäftigten von zahlreichen Faktoren beeinflusst. Dazu zählen neben der Gesundheit auch einschneidende Erlebnisse im Privatleben wie Heirat und Scheidung. Ein naheliegender Gedanke ist, diese privaten Angaben systematisch zu sammeln und für die Personalplanung und -führung zu verwenden.

Dr. Niels LepperhoffPraxis
Lesezeit 4 Min.
Eine Kollektion weißer Einkaufstaschen der Marke H&M mit ausgebreiteten und überlappenden grauen Schriftzügen auf einem klaren Hintergrund.

1. Privat ist nicht privat

Führungskräfte in einem Nürnberger Servicecenter sollen mindestens seit 2014 umfangreiche Informationen über Mitarbeiter zusammengestellt haben. Diese wurden auf einem Netzlaufwerk gespeichert und von Führungskräften erhoben und verwendet. Aus Gesprächen mit Mitarbeitern – auch kurze auf dem Flur – wurden Urlaubserlebnisse, Krankheitssymptome und -diagnosen sowie Details über das Privatleben erfasst. Dazu sollen auch familiäre Probleme und religiöse Bekenntnisse zählen[1] Bis zu 50 Führungskräfte sollen Zugriff gehabt und die Aufzeichnungen um eine „akribische Auswertung der individuellen Arbeitsleistung“[2] ergänzt haben. Diese Profile dienten als Basis für „Maßnahmen und Entscheidungen im Arbeitsverhältnis“[3]. Die betroffenen Mitarbeiter sollen von der systematischen Zusammenstellung erst erfahren haben, als eine Führungskraft Mitschriften von diesen Gesprächen in einem öffentlich zugänglichen Ordner speicherte[4].

2. Reue und Bußgeld

Nach Angaben des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) hat das Unternehmen verschiedene Maßnahmen ergriffen. Dazu zählen u. a.:[5]

  • Entschuldigung bei den betroffenen Mitarbeitern seitens der Geschäftsleitung,
  • Auszahlung eines Schadenersatzes „in beachtlicher Höhe“,
  • Berufung eines neuen Datenschutzkoordinators,
  • monatliche Datenschutz-Statusupdates und
  • verstärkte Bekanntmachung des Whistleblower-Schutzes.

Der HmbBfDI lobt die Reaktion als ein „bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß“[6] . Zur Abschreckung von Unternehmen, die Privatsphäre von Mitarbeitern zu verletzen, dient das gegen H&M verhängte Bußgeld von 35,3 Mio. Euro.

3. Lehren für die eigene Praxis

Schnell mag man denken, „das kommt bei uns nicht vor“ oder auch „schön blöd, sich erwischen zu lassen.“ Im Fall H&M stecken mehr Lehren, als es auf den ersten Blick scheint.

3.1 „Wir halten uns streng an ›den Datenschutz‹

Die Grenze zum rechtswidrigen Ausspähen von Mitarbeitern ist schnell überschritten. Es fängt schon bei der Frage an einen Krankenrückkehrer an, welche Krankheit er hatte. Außer im Rahmen des betrieblichen Eingliederungsmanagements darf ein Arbeitgeber grundsätzlich nicht nach der Krankheit fragen. Um Führungskräften Handlungssicherheit zu geben, empfehlen sich Trainings zu erlaubten und unzulässigen Fragen an Mitarbeiter.

Persönlichkeitstests für Bewerber, Azubis und Führungskräfte sind ein anderes Beispiel. Persönlichkeitstests greifen sehr tief in das Persönlichkeitsrecht ein und weisen grundsätzlich keinen Bezug zur Tätigkeit auf. Sie sind deshalb regelmäßig unzulässig.

3.2 „Et hätt noch immer jot jejange

„Et hätt noch immer jot jejange“ ist eine bekannte (rheinländische) Einstellung. Dabei wird erwartet, dass es auch in der Zukunft gut geht. Mindestens sechs Jahre lang ist es für die Führungskräfte „jot jejange“. Es wäre vielleicht auch weiter „jot jejange“, wenn nicht einer Führungskraft der Fehler mit der Ablage in einem für die Mitarbeiter zugänglichen Ordner passiert wäre.

Datenschutzverstöße kommen irgendwann ans Licht. Je länger der Verstoß andauert, desto gravierender ist der Eingriff in das Persönlichkeitsrecht, desto höher fallen das Bußgeld und ein möglicher Schadensersatz aus. Je länger sich eine Führungskultur etabliert, die es an Respekt gegenüber Mitarbeitern und Gesetzen fehlen lässt, desto aufwändiger und langwieriger wird ihre Veränderung. Vertrauen lässt sich nicht schnell zurückgewinnen. In der eigenen Beratungspraxis erlebe ich immer wieder, dass Vorfälle auch nach vielen Jahren noch zu Misstrauen gegen die Geschäftsführung führen – auch wenn die damals verantwortlichen Personen nicht mehr im Unternehmen weilen.

3.3 Wirksame Kontrollmechanismen

Wenn Gesetzesverstöße über Jahre hinweg begangen werden, stellt sich unweigerlich die Frage nach der Wirksamkeit der unternehmensinternen Kontrollmechanismen. Der Gesetzgeber schreibt mit der Datenschutz-Grundverordnung (DS-GVO) ein zweistufiges Kontrollsystem vor: Das Unternehmen – typischerweise die Führungskräfte in ihrem jeweiligen Bereich – muss alle zur Einhaltung des Datenschutzrechts getroffenen Maßnahmen überprüfen und ggf. aktualisieren (Art. 24 Abs. 1 und 32 Abs. 1 lit. d) DS-GVO). Auf der zweiten Ebene überwacht der Datenschutzbeauftragte, dass die Führungskräfte (1. Ebene) ihren Kontrollaufgaben nachkommen (Art. 39 Abs. 1 lit. b) DS-GVO).

Eine robustes Kontrollsystem, das idealerweise mit Aktivitäten der Innenrevision abgestimmt wird, hilft, Gesetzesverstöße im Datenschutz schnell zu erkennen. Aus meiner eigenen Beratungspraxis habe ich immer wieder das Feedback bekommen, dass Kontrollen Handlungssicherheit vermitteln.

Neben einem robusten Kontrollsystem braucht es im Datenschutz auch einen effektiven Whistleblower-Schutz. Der Datenschutzbeauftragte ist aufgrund seiner Verschwiegenheitspflicht eine mögliche Anlaufstelle für Whistleblower. Whistleblower sind ein Gegengewicht zu Führungskräften, die ihre Gesetzesverstöße geschickt zu kaschieren wissen.

4. Fazit

Nehmen Sie den Fall H&M zum Anlass,

  • die eigenen Führungskräfte hinsichtlich der erlaubten und unzulässigen Fragen zu schulen,
  • kritisch die eigenen Verarbeitungen auf Zulässigkeit zu prüfen,
  • die vergebenen Zugriffsrechte zu überprüfen,
  • ein robustes Kontrollsystem zu etablieren und
  • einen Schutz für Whistleblower einzurichten und zu kommunizieren.
  • Greifen Sie bei festgestellten Verstößen gegen Datenschutzgesetze konsequent durch.

Dr. Niels Lepperhoff, Xamit Bewertungsgesellschaft mbH

[1] ) HmbBfDI (2020): 35,3 Millionen Euro Bußgeld wegen Datenschutzverstößen im Servicecenter von H&M, 01.10.2020

[2] HmbBfDI (2020): 35,3 Millionen Euro Bußgeld wegen Datenschutzverstößen im Servicecenter von H&M, 01.10.2020

[3] ) HmbBfDI (2020): 35,3 Millionen Euro Bußgeld wegen Datenschutzverstößen im Servicecenter von H&M, 01.10.2020

[4] ) Heise Online (2020): H&M soll Mitarbeiter massiv ausgespäht haben, 27.01.2020

[5] HmbBfDI (2020): 35,3 Millionen Euro Bußgeld wegen Datenschutzverstößen im Servicecenter von H&M, 01.10.2020

[6] HmbBfDI (2020): 35,3 Millionen Euro Bußgeld wegen Datenschutzverstößen im Servicecenter von H&M, 01.10.2020

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.