Mitarbeiterdatenschutz – H&M Bußgeld – was darf der Arbeitgeber wissen?

Gegen H&M wurde kürzlich von dem Hamburgischen Datenschutzbeauftragten ein Bußgeld über 35 Mio. € verhängt, da der Konzern Mitarbeiter unerlaubt ausgehorcht und Profile mit privaten, familiären und religionsbezogenen Information angelegt hat. Dies zeigt, dass es bei Verstößen gegen die Rechte von Mitarbeitern zu empfindlichen Strafen kommen kann. Aber welche Mitarbeiterdaten dürfen im Unternehmen erhoben werden und welche nicht?

Was war passiert?

In einem H&M Servicecenter wurden umfangreiche Profile mit privaten Daten von Mitarbeitern angelegt. Nachdem Mitarbeiter aus dem Urlaub oder nach Krankheit zurück an den Arbeitsplatz kamen, wurde von dem Vorgesetzen ein sogenannter „Welcome Back Talk“ durchgeführt. Die daraus gewonnen Erkenntnisse, wie Urlaubserlebnisse, Krankheitssymptome oder Diagnosen wurden im System abgespeichert. Vorgesetze nutzten auch Einzel- und Flurgespräche um sich ein detailliertes Wissen über das Privatleben der Mitarbeiter anzueignen und speicherten die Informationen digital ab um diese zur Auswertung der individuellen Arbeitsleistung des Mitarbeiters zu nutzen. Das Ganze flog auf, als es im Oktober 2019 zu einem Konfigurationsfehler kam und auf die Daten unternehmensweit zugegriffen werden konnte. Obwohl H&M mit den Behörden kooperiert hat, wurde ein Rekordbußgeld von 35 Mio. € verhängt, da es sich um einen besonders tiefgreifenden Eingriff in die Rechte der Mitarbeiter handelte.

Welche Daten dürfen von Mitarbeitern erhoben werden?

Dass die oben genannte Modekette viel zu weit gegangen ist, liegt auf der Hand. Aber welche Daten von Mitarbeitern dürfen eigentlich erhoben werden?

Die DS-GVO selbst enthält für den Beschäftigtendatenschutz keine konkreten Regelungen. Vielmehr richtet sich der Beschäftigtendatenschutz zunächst nach den allgemeinen Regelungen der DS-GVO, die für jedes Rechtsverhältnis gelten. Der deutsche Gesetzgeber hat jedoch die Öffnungsklausel des Art. 88 Abs. 1 DS-GVO genutzt und spezifische Vorschriften für die Verarbeitung personenbezogener Daten im Beschäftigungsverhältnis in § 26 BDSG geregelt.
Personenbezogene Daten von Beschäftigten dürfen für den Zweck des Beschäftigungsverhältnisses gemäß § 26 Abs. 1 BDSG nur dann verarbeitet werden, soweit dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist, es eine tarifvertragliche Regelung gibt oder zur Aufklärung eines Strafverdachts. Wichtig zu wissen ist, dass der gesamte § 26 BDSG auch für solche Daten gilt, die nicht in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Papierhafte Sammlungen fallen daher auch unter die Vorschrift. Damit ist der Anwendungsbereich des § 26 BDSG weiter gefasst als der Anwendungsbereich der DS-GVO.

Das Privatleben des Arbeitnehmers ist für den Arbeitgeber tabu. Mit wem der Arbeitnehmer zusammenlebt und welchen Freizeitbeschäftigungen er nachgeht, ist für das Arbeitsverhältnis ohne Belang. Auch ein Spint, der dem Mitarbeiter zur Verfügung gestellt wird oder die Essensvorlieben in der Kantine sind der Privatsphäre des Mitarbeiters zuzuordnen. Die Familienverhältnisse, wie z B. die Anzahl der unterhaltspflichtigen Personen eines Arbeitnehmers können aber dann von Bedeutung sein, wenn betriebsbedingt gekündigt werden soll und eine Sozialauswahl durchgeführt wird.

Die Durchführung von Krankenrückkehrgesprächen ist grundsätzlich zulässig. Dies insbesondere, wenn eine Eingliederungsmaßnahme geplant oder die Arbeitsbelastung dem betrieblichen Umfeld (Mobbing, sexuelle Belästigung) zuzuordnen ist. Der Beschäftigte braucht aber die Krankheitsgründe nicht offenzulegen. Es darf aber danach gefragt werden, ob die Erkrankung in Zusammenhang mit der Arbeit steht oder der zukünftigen Ausübung der Tätigkeit im Wege steht. Ohne die freiwillig erteilte Einwilligung des Beschäftigten kann der Arbeitgeber nur im Rahmen des Erforderlichen und Angemessenen personenbezogene Daten über Krankheiten und Gesundheitszustand erheben, verarbeiten und nutzen (z. B. HIV Test bei Chirurgen, psychologischer Test bei Piloten).

Die Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 Abs. 1 DS-GVO, wie etwa die ethnische Herkunft, politische Meinungen, sexuelle Orientierung oder die Religionszugehörigkeit unterliegen besonders restriktiven Zulässigkeitsvoraussetzungen. Eine Verarbeitung sensibler Daten für Zwecke des Beschäftigungsverhältnisses ist nach Art. 9 Abs. 2 lit. b) DS-GVO nur dann zulässig, wenn sie zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse der betroffenen Person an dem Ausschluss der Verarbeitung überwiegt. Eine Erhebung und Verarbeitung der Religionszugehörigkeit ist beispielsweise dann zulässig, um die Kirchensteuer zu erheben oder bei sog. Tendenzbetrieben (Kindergärten, Kirchen, Schulen, etc.), wenn eine katholische Gemeinde einen Religionslehrer sucht.

Was kann passieren?

Der Verstoß gegen die Pflichten des § 26 BDSG ist gemäß Artikel 83 Abs. 5 lit. d) DS-GVO mit einem Bußgeldrahmen von bis zu 20 Millionen EUR (beziehungsweise 4 % des weltweiten Jahresumsatzes) sanktioniert. Strafrechtliche Regelungen sind zudem in § 42 BDSG enthalten.

Tipp: Der Schutz der Mitarbeiterdaten hat einen hohen Stellenwert und Eingriffe in das Persönlichkeitsrecht wiegen schwer. Arbeitgeber sollten daher besonderen Wert darauf legen, dass die Beschäftigtendaten nur im Rahmen der gesetzlichen Vorschriften verarbeitet werden und prüfen, ob es eine eindeutige gesetzliche Grundlage für die Verarbeitung der Daten gibt und die Daten streng zweckgebunden verarbeitet werden.

Kommen Sie gerne auf uns zu, wenn Sie Fragen zu diesem Thema haben!

Ihre Kanzlei für IT-Recht und Datenschutz München