Gerade hat es die Modekette H&M getroffen: 35,3 Millionen Euro Bußgeld für die Verletzung der DS-GVO.
Es muss nicht immer Geld kosten
Die Datenaufsichtsbehörden können gegenüber Verantwortlichen vorsorgliche Warnungen aussprechen, wenn damit zu rechnen ist, dass geplante Datenverarbeitungen voraussichtlich gegen die DS-GVO verstoßen.
Dabei haben die Aufsichtsbehörden auch umfassende Untersuchungsbefugnisse und Verantwortliche, als auch Auftragsverarbeiter haben entsprechende Mitwirkungspflichten. Betroffene Unternehmen müssen also alle Informationen bereitstellen, die für die Erfüllung der Aufgaben der Aufsichtsbehörde erforderlich sind.
Um Verstöße gegen die DS-GVO zu ahnden, steht den Aufsichtsbehörden ein breites Spektrum an Maßnahmen zur Verfügung. Verantwortliche Stellen können von den Aufsichtsbehörden auch angewiesen werden Beschränkungen und Verbote umzusetzen.
Die Verantwortung für die Einhaltung der DS-GVO liegt dabei bei der verantwortlichen Stelle. Die verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten erhebt, verarbeitet oder nutzt oder andere damit beauftragt.
Was wird geahndet?
Sollte ein Unternehmen vorsätzlich oder fahrlässig keinen Datenschutzbeauftragen bestellt haben, stellt das eine bußgeldbewehrte Ordnungswidrigkeit dar (Artikel 37 DS-GVO).
Ebenso verhält es sich mit der Dokumentationspflicht. Damit ist das Verzeichnis der Verarbeitungstätigkeit gemeint. Es ist ein Überprüfungsschwerpunkt der Aufsichtsbehörde. Führt ein Unternehmen kein Verzeichnis von Verarbeitungstätigkeiten und/oder stellt dieses der Behörde nicht vollständig bereit, droht nach Art. 83 Abs. 4 a EU-DSGVO ebenfalls ein Bußgeld.
Es kann auch teuer werden
Die schwedische Modekette hat aktuell das bisher höchste Bußgeld, das bisher in Deutschland verhängt wurde, erwischt. Die Hamburger Datenschutzbehörde will mit diesem Bescheid eine abschreckende Wirkung erzielen. Dabei spielt auch eine Rolle, dass die Verantwortlichen bei H&M „die transparente Aufklärung“ ermöglichten, dass lobte der Hamburger Datenschutzbeauftragte Johannes Caspar. Das Unternehmen zeigte den Willen, "den Betroffenen den Respekt und die Wertschätzung zukommen zu lassen, die sie als abhängig Beschäftigte in ihrem täglichen Einsatz für ihr Unternehmen verdienen". Widmeten sich die bisherigen Bußgelder in Deutschland überwiegend dem Schutz von Kundendaten, wird im Fall H&M der Beschäftigtendatenschutz in den Fokus gerückt. Es zeigt, dass Unternehmen prüfen sollten, welche Informationen Sie über ihre Beschäftigten speichern und ob dies unter den Aspekten des Datenschutzrechtes so überhaupt zulässig ist.
In Nürnberger Callcenter wurden demnach seit 2014 „umfangreiche Erfassungen privater Lebensumstände“ der Mitarbeiter vorgenommen. Alle Erkenntnisse, die über die Mitarbeiter akribisch gesammelt wurden, sind demnach auf Netzlaufwerken gespeichert und wohl auch ausgewertet worden. So waren auch sogenannte „Welcome-Back-Calls“ nach längeren Krankheitstagen die Regel.
Obwohl H&M ein „umfassendes Konzept“ zur Aufarbeitung vorgelegt hatte, hat die Hamburger Behörde das Bußgeld auf 35,3 Millionen Euro angesetzt.
Profitieren Sie vom Fachwissen unserer Experten:
Wir haben weiterführende Informationen und Fakten für Sie zusammengefasst.