Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat aufgrund der unzulässigen Überwachung von Beschäftigten in einem H&M Servicecenter ein Bußgeld in Höhe von 35.258.707,95 Euro gegen H&M verhängt.[1] Der Höhe nach handelt es sich um das bisher höchste von einer deutschen Behörde aufgrund eines DSGVO-Verstoßes (und das zweithöchste überhaupt auf Grund einer Verletzung der DSGVO) verhängte Bußgeld.[2]
Datenschutzverstöße durch H&M
Die H&M vorgeworfenen Datenschutzverstöße beruhen auf Vorgängen in einem Nürnberger Servicecenter der Modemarke, die bis ins Jahr 2014 zurückreichen und im Oktober 2019 publik wurden.[3] An dem Standort sollen Teamleader mit Beschäftigten nach Urlaubs- und Krankheitsabwesenheiten sogenannte Welcome-Back-Talks geführt haben. Aus diesen Gesprächen gewonnenes Wissen über Urlaubserlebnisse wurde genauso wie Informationen über Krankheitssymptome und Diagnosen genutzt, um ein Profil der Beschäftigten anzulegen. Die Profile wurden durch von Vorgesetzten bei normalen Gesprächen erlangte Kenntnisse über das Privatleben der Mitarbeitenden und einer akribischen Auswertung der Arbeitsleistung ergänzt. Die so erstellten Profile, die zeitweise für bis zu 50 Führungskräfte am Standort einsehbar waren, wurden als Entscheidungshilfe für Maßnahmen im Arbeitsverhältnis genutzt. Diese Praxis flog erst auf, als die Aufzeichnungen in Folge eines Konfigurationsfehlers für einige Stunden unternehmensweit einsehbar waren.
Nach dem Bekanntwerden der Vorgänge verlangte der Hamburger Datenschutzbeauftrage die Einstellung der Erhebungen und die Herausgabe der bestehenden Datensätze. H&M kam der Aufforderung nach und legte der Behörde einen Datensatz von ca. 60 Gigabyte vor.
Rechtlicher Rahmen zur Berechnung von Bußgeldern
Angesichts der Vorgänge ist es nicht überraschend, dass die Hamburger Datenschützer ein Bußgeld verhängt haben. Bemerkenswert ist jedoch die Höhe des Bußgeldbescheids. Leider ist es für Außenstehende nicht direkt nachvollziehbar, aus welchen Gründen ein Bußgeld in einer bestimmten Höhe verhängt wird. Man kann lediglich anhand der rechtlichen Grundlagen und über die bekannten Grundsätze der Behörden bei der Festlegung von Bußgeldern versuchen nachzuvollziehen, warum das Bußgeld im vorliegenden Fall in besagter Höhe erlassen worden ist. [4]
Die rechtliche Grundlage zur Verhängung von Geldbußen aufgrund von DSGVO-Verstößen findet sich in Art. 83 DSGVO. Die eigentlichen Bußgeldtatbestände enthalten die Abs. 4-6. Während Art. 83 Abs. 4 die Missachtung bestimmter formeller administrativer Pflichten sanktioniert, adressiert Abs. 5 die Verletzung materieller Grundsätze und Betroffenenrechte.[5] Kommen sowohl Verstöße gegen Abs. 4 als auch Abs. 5 in Betracht, muss durch eine wertende Betrachtung des Einzelfalls der Schwerpunkt des vorgeworfenen Verhaltens einem Absatz zugeordnet werden.[6] Die zulässigen Höchststrafen liegen bei Unternehmen im Falle von Verstößen nach Art. 83 Abs. 4 DSGVO bei 2%, im Falle des Abs. 5 sogar bei 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Jedoch sieht Art. 83 Abs. 3 DSGVO eine Begrenzung der Höhe der Geldbuße auf den gesetzlichen Höchstbetrag für den schwerwiegendsten Verstoß vor, wenn bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen gegen mehrere Bestimmungen der DSGVO verstoßen wird.[7] Schließlich nennt Art. 83 Abs. 2 DSGVO eine Reihe von Indikatoren die bei der Entscheidung ob und in welcher Höhe ein Bußgeld verhängt werden soll, zu berücksichtigen sind. Die DSGVO enthält damit insgesamt nur rudimentäre Regelungen zur Bestimmung der Höhe eines Bußgeldes im Einzelfall.[8]
Für die Festlegung von Bußgeldern durch deutsche Behörden spielt daher ein nicht bindender Leitfaden zur Bestimmung der Höhe von Sanktionen, der vom Arbeitskreis Sanktionen der Konferenz der unabhängigen Datenschutzbehörden (DSK) entwickelt wurde, eine praktisch bedeutsame Rolle.[9] Dieser Leitfaden sieht zur Bestimmung eines Bußgeldes fünf Schritte vor, in denen ausgehend vom Jahresumsatz des Unternehmens ein Tagessatz ermittelt wird, der wiederum je nach Schweregrad des Verstoßes multipliziert und im Einzelfall angepasst wird.
Zustandekommen des Bußgeldes im Fall H&M
Anhand der geschilderten gesetzlichen Regelungen und des nicht bindenden Leitfadens wird deutlich, dass vor allem zwei Faktoren maßgeblich für die Höhe eines Bußgeldes sind: Der Jahresumsatz eines Unternehmens und der vorgeworfene Verstoß. Je größer der Umsatz eines Unternehmens, desto höher kann ein Bußgeld bereits bei geringeren Verstößen ausfallen, während diese bei Kleinstunternehmen auch bei erheblichen Verstößen geringer sind. Dieser Umstand hat sich im vorliegenden Fall ersichtlich zulasten von H&M ausgewirkt. Denn nach überwiegender Ansicht ist der Begriff des Unternehmens in Art. 83 DSGVO, wie sich aus Erwägungsgrund 150 S. 3 zur DSGVO ergibt, gleich dem kartellrechtliche Unternehmensbegriff in Art. 101, 102 AEUV zu verstehen.[10] Dies hat wiederum zur Folge, dass sich das Tatbestandsmerkmal Unternehmen funktional auf eine wirtschaftliche Einheit bezieht und daher der Umsatz eines ganzen Konzerns für die Bußgeldbemessung maßgeblich ist.[11] Berücksichtigt man dem Umstand, dass H&M 2019 weltweit einen Umsatz von knapp 22,1 Milliarden Euro erwirtschaftete,[12] und damit ein Großunternehmen im Sinne des Leitfadens der DSK ist, ist die Höhe des Bußgeldes bereits weniger überraschend. Damit stellt sich die Frage, wegen welcher konkreten DSGVO-Verstöße das Bußgeld verhängt wurde. Bei den geschilderten Vorgängen in Nürnberg erscheinen eine Reihe von Missachtungen denkbar. Zum einen dürfte die Datenverarbeitung – mangels erfolgter Einwilligung nach Art. 6, 7 DSGVO – bereits rechtswidrig gewesen sein. Zudem kommen aufgrund der Einsehbarkeit der Daten für Führungskräfte im Unternehmen Verstöße gegen die Grundsätze für die Verarbeitung aus Art. 5 DSGVO in Betracht. Beide Verstöße könnten nach Art. 83 Abs. 5 lit. a) DSGVO mit einer Geldbuße von bis zu 4% des weltweiten Jahresumsatzes sanktioniert werden. Sollten die Hamburger Datenschützer sich bei der Bestimmung des Bußgeldes an dem Leitfaden der DSK orientiert haben, hinge die Höhe des Bußgeldes davon ab, als wie schwerwiegend die Datenschützer die Verstöße eingeordnet hätten. Aufgrund der Erstellung der Profile mit Details des Privatlebens der Beschäftigten würde jedoch auch die Annahme eines sehr schweren Verstoßes, also die Annahme eines Verstoßes der höchsten Kategorie, nicht überraschen.
Ausblick
Gem. Art. 83 Abs. 1 DSGVO sollen die Geldbußen für DSGVO Verstöße wirksam, verhältnismäßig und abschreckend sein. Auch, wenn bei der Bestimmung der Höhe den Behörden – wie gezeigt – ein gewisser Ermessenspielraum zukommt, kann von einer Überschreitung des Ermessens vorliegend nicht die Rede sein. Theoretisch hätte noch ein höheres Bußgeld verhängt werden können.
Nachdem letztes Jahr in Deutschland bereits ein Bußgeld in Höhe von 14,5 Millionen Euro verhängt worden war, dürften nun die Zeiten, in denen von einem defensiven Auftreten deutscher Behörden bei der Verhängung von Bußgeldern wegen DSGVO Verstößen die Rede war,[13] vorbei sein. H&M hat mittlerweile reagiert und ein umfassendes Konzept zur Gewährleistung des Datenschutzes am Standort Nürnberg vorgelegt und gleichzeitig den betroffenen Beschäftigten auf unbürokratischem Weg ein Schmerzensgeld ausgezahlt. Diese Bemühungen fanden auch Anklang beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, Prof. Dr. Johannes Caspar, der diese ausdrücklich positiv bewertete.[14]
Wenn die Verhängung des Bußgeldes gegen H&M daher Anlass zur Kritik gibt, dann weniger wegen der Höhe des Bußgeldes als wegen des durch Art. 83 DSGVO vorgegebenen Regelungskonzepts. Eine Neuregelung oder Entschärfung der bestehenden Sanktionsmöglichkeiten erscheint aktuell jedoch eher unwahrscheinlich, hatte die EU Kommission in ihrer jüngsten Evaluation der DSGVO doch eine noch bessere Durchsetzung der bestehenden Regeln gefordert.[15] In Zukunft wird daher mit der Verhängung weiterer, ähnlich hoher Bußgelder durch die Datenschutzbehörden zu rechnen sein.
[1] Vgl. die Pressemitteilung des HmbBfDI v. 01.10.2020, zuletzt abgerufen am: 09.10.2020.
[2] Vgl. Beuth, H&M soll 35 Millionen Euro Bußgeld zahlen, Spiegel.de, 01.10.2020, zuletzt abgerufen am: 09.10.2020.
[3] Die Geschehnisse sind ausführlich dargestellt in der Pressemitteilung des HmbBfDI (Vgl. Fn. 1).
[4] Vgl. zu der Berechnung von Bußgeldern auch: Gilde, DSGVO-Bußgelder: Berechnung und Verfahren, BayWidI Blog, 20.12.2019, zuletzt abgerufen am: 09.10.2020.
[5] Moos/Schefzig, in: Taeger/Gabel, DS-GVO – BDSG, 3. Aufl. 2019, Art. 83 DS-GVO, Rn. 73.
[6] Moos/Schefzig, in: Taeger/Gabel, DS-GVO – BDSG, 3. Aufl. 2019, Art. 83 DS-GVO, Rn. 78.
[7] Holländer, in: BeckOK Datenschutzrecht, 33. Edition, Stand: 01.08.2020, Art. 83 DS-GVO, Rn. 46.
[8] Gründwald/Hackl, Das neue Umsatzbezogene Sanktionsregime der DS-GVO, ZD 2017, 556, 557.
[9] DSK, Konzept der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder zur Bußgeldzumessung in Verfahren gegen Unternehmen, zuletzt abgerufen am: 09.10.2020.
[10] Frenzel, in: Paal/Pauly, DS-GVO – BDSG, 2. Aufl. 2018, Art. 83 DS-GVO, Rn. 20 m.w.N.
[11] Moos/Schefzig, in: Taeger/Gabel, DS-GVO – BDSG, 3. Aufl. 2019, Art. 83 DS-GVO, Rn. 86.
[12] Vgl. hierzu S. 17 im Jahresbericht von H&M 2019 (Angaben in Schwedischen Kronen), zuletzt abgerufen am: 09.10.2020.
[13] Ebner/Schmidt, Verhängung von DS-GVO Bußgeldern in der Praxis, CCZ 2020, 84, 86.
[14] Pressemitteilung des HmbBfDI, Fn. (1).
[15] S. 6 ff. der Mitteilung der Kommission an das Europäische Parlament und den Rat, SWD(2020) 115 final, 24.06.2020, zuletzt abgerufen am: 09.10.2020.