Mitarbeiter ausschnüffeln: Teuer, aber nicht teuer genug
Hach, die guten alten Zeiten... erinnert sich noch jemand an den Lidl-Skandal (2008), als Mitarbeiter ausspioniert wurden? Mit Detektiven, Kameras und so... - weil ja so viele Diebe unterwegs gewesen seien. Herr Seehofer war damals Verbraucherschutzminister. Da war das Internetz noch nicht mal Neuland und alles noch viel einfacher und besser. Man musste noch nicht mal seine Fehler als Fehler offen zugeben, sondern konnte sich alles zurechtrechtfertigen. Zehn Jahre später ist die Welt schon viel kompliziertererer.
Seit Einführung der DSGVO 2018 wurden schon manche Strafen in Millionenhöhe ausgesprochen. Drei Beispiele:
- 1&1 (United Internet) etwa musste in Deutschland rund 10 Millionen EUR zahlen, weil keine angemessenen TOMs vorhanden gewesen seien. Jährlicher Umsatz 2019 in Deutschland: 5+ Mrd EUR. Die Strafe entspricht also grob 0,2% des Umsatzes.
- Google musste in Frankreich 50 Millionen EUR zahlen wegen mangelnder Transparenz hinsichtlich der Verwendung personenbezogener Daten. Jährlicher Umsatz 2019 weltweit: 160+ Mrd Dollar. Die Strafe war also kaum mehr als ein Krümel einer Peanut, ca. 0,03% des Umsatzes.
- Deutsche Wohnen musste 14,5 Mio. EUR zahlen, da unberechtigt sensible, personenbezogene Daten jahrelang gespeichert wurden. Jährlicher Umsatz 2019 in Deutschland: ca. 1 Mrd. EUR. Bußgeld entspricht ca. 1,45% des Umsatzes.
Neuer Fall, dieses Mal triffts H&M in Deutschland. Die haben aber auch wirklich sehr gründlich Scheiße gebaut:
Mindestens seit dem Jahr 2014 kam es bei einem Teil der Beschäftigten zu umfangreichen Erfassungen privater Lebensumstände. Entsprechende Notizen wurden auf einem Netzlaufwerk dauerhaft gespeichert. Nach Urlaubs- und Krankheitsabwesenheiten – auch kurzer Art – führten die vorgesetzten Teamleader einen sogenannten Welcome Back Talk durch. Nach diesen Gesprächen wurden in etlichen Fällen nicht nur konkrete Urlaubserlebnisse der Beschäftigten festgehalten, sondern auch Krankheitssymptome und Diagnosen. Zusätzlich eigneten sich einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden an, das von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen reichte. Die Erkenntnisse wurden teilweise aufgezeichnet, digital gespeichert und waren mitunter für bis zu 50 weitere Führungskräfte im ganzen Haus lesbar. Die Aufzeichnungen wurden bisweilen mit einem hohen Detailgrad vorgenommen und im zeitlichen Verlauf fortgeschrieben. Die so erhobenen Daten wurden neben einer akribischen Auswertung der individuellen Arbeitsleistung u.a. genutzt, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten. Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte zu einem besonders intensiven Eingriff in die Rechte der Betroffenen.
Der Umsatz in 2019 von H&M betrug ca. 22 Mrd. EUR. Das Bußgeld betrug 35,3 Mio. EUR, das entspricht ca. 0,16% des jährlichen Umsatzes.
Die DSGVO sieht Strafen bis zu 20 Mio. EUR oder 4% des jährlichen, weltweiten Umsatzes vor (je nachdem, was höher ist).
Mir muss jetzt jemand mal genau erklären, warum H&M für die Sauerei, die veranstaltet wurde, weit weniger (im Verhältnis zum Umsatz) zahlen muss als beispielsweise die Deutsche Wohnen oder 1&1. Deren Verstöße sind zwar selbstverständlich auch hart zu ahnden, hinsichtlich der Niedertracht kommt die Schlamperei ("nur" ein Verstoß gegen TOM-Vorgaben) sowohl bei DW als auch bei 1&1 aber aus meiner Sicht bei Weitem nicht an den vorsätzlichen Mitarbeiter-Missbrauch heran, den H&M da hingelegt hat. Hätte man beim Strafmaß den Spielraum auch nur annähernd ausgenutzt, den die DSGVO bietet, müsste H&M rund 880 Mio. EUR Bußgeld zahlen. Den Rahmen komplett auszureizen wäre sicherlich nicht ganz fair, da es sich - das nehme ich zugunsten von H&M einfach mal an - um gravierendes Fehlverhalten nur eines kleinen Teils der Management-Ebene handelt. Trotzdem steht H&M auch als Gesamtkonstrukt in der Verantwortung.
Die Pressestelle des HmbBfDI (vom HmbBfDI wurde das Bußgeld verhängt) hat noch folgenden Absatz rausgelassen:
Ausdrücklich positiv ist das Bemühen der Konzernleitung zu bewerten, die Betroffenen vor Ort zu entschädigen und das Vertrauen in das Unternehmen als Arbeitgeber wiederherzustellen. Die transparente Aufklärung seitens der Verantwortlichen und die Gewährleistung einer finanziellen Kompensation zeigen durchaus den Willen, den Betroffenen den Respekt und die Wertschätzung zukommen zu lassen, die sie als abhängig Beschäftigte in ihrem täglichen Einsatz für ihr Unternehmen verdienen.
Man sollte noch mal einen Schritt zurückgehen und schauen, was da eigentlich passiert ist: Weil irgendein Dummerle einen Konfigurationsfehler verursacht hat, und die ganzen, intimen Mitarbeiter-Profile auf einmal unternehmensweit einsehbar waren, kam es überhaupt zu einer Öffentlichmachung dieses Datensumpfs. Hätte es den Konfigurationsfehler nicht gegeben, wäre möglicherweise weiter unbegrenzt gesammelt worden.
Also nachträglich fein Entschuldigung sagen, die Betroffenen mit etwas Geld überschütten und einen Datenschutz-Heini samt "Datenschutzkonzept" installieren, damit ab und zu mal rumgeprüft wird - das soll alles sein?
Wenn ein Unternehmen es überhaupt zulässt, dass Leute in Führungspositionen gelangen, die mit ihren Mitarbeitern umspringen als seien es Sklaven, aus denen man jeden Cent Arbeitskraft erpressen muss, hat dieses Unternehmen dafür auch geradezustehen. Daher hielte ich eine Strafe mindestens im niedrigen dreistelligen Millionenbereich für viel plausibler.
Ich weiß, ich weiß. Nicht angemessen im Endstadium des Kapitalismus.