(MSC) Anfang der Woche fällte der Europäische Gerichtshof (EuGH) ein mit Spannung erwartetes Urteil zur Vorratsdatenspeicherung. „Mit dem heutigen Urteil bestätigt der EuGH seine bisherige Linie und bekräftigt die Sicht der Datenschützer“, sagt Kugelmann, Landesbeauftragter für den Datenschutz in Rheinland-Pfalz. Demnach ist die allgemeine, massenhafte Speicherung von Kommunikations- und Standortdaten nicht mit der EU-Grundrechtecharta vereinbar. In Ländern wie Großbritannien oder Frankreich wurden Telekommunikationsdaten bislang im großen Stil ohne konkreten Anlass für Ermittlungszwecke gespeichert. Das untersagte der EuGH nun, macht aber eine Hintertür auf: Ist die nationale Sicherheit eines Mitgliedstaates ernsthaft bedroht, kann die massenhafte Datensammlung für einen begrenzten Zeitraum zulässig sein.

Verstoß gegen den Datenschutz: H&M soll 35 Mio. € bezahlen

Wegen des Ausspähens von Mitarbeitern soll der Moderkonzern Hennes & Mauritz (H&M) ein Bußgeld in Höhe von 35,3 Millionen Euro zahlen. Im Fall von H&M wurden seitens des Unternehmens mehrere hundert Mitarbeitende des H&M Servicecenters in Nürnberg durch die Center-Leitung überwacht. Der Bußgeldbescheid der Hamburger Aufsichtsbehörde (HmbBfDI) beziffert eine Summe von 35.258.707,95 €.

Die Gesellschaft mit Sitz in Hamburg erfasste in ihrem Servicecenter Nürnberg seit 2014 umfangreich Daten zu privaten Lebensumständen. Die Daten wurden dauerhaft gespeichert. So führten vorgesetzte Teamleader nach Urlaub oder Krankheit sogenannte „WelcomeBackTalks“ durch und speicherten die Ergebnisse. Nicht nur konkrete Urlaubserlebnisse wurden festgehalten, sondern auch Krankheitssymptome und Diagnosen. Auch Einzel- und Flurgespräche wurden festgehalten, von Kontrollen des häuslichen Umfeldes per Beobachtung wurde ebenso berichtet.

Die Daten waren zum Teil für bis zu 50 Führungskräften einsehbar. Die Datensammlung wurde systematisch erweitert und im zeitlichen Verlauf fortgeschrieben. Neben einer Auswertung der Arbeitsleistung wurde sie genutzt, um ein Profil der Beschäftigten zu erstellen und dies für Maßnahmen und Entscheidungen im Arbeitsverhältnis genutzt. Bekannt wurde die Datenerhebung infolge eines Konfigurationsfehlers im Oktober 2019 – die Notizen waren für einige Stunden unternehmensweit einsehbar. Nachdem die Hamburger Behörde von dieser Datensammlung aus der Presse erfuhr, verlangte sie den Inhalt des Netzlaufwerkes vollständig einzufrieren und an die Aufsichtsbehörde herauszugeben. Ein Datensatz von rund 60 Gigabyte wurde vorgelegt. Zusätzlich wurde dem HmBfDI ein umfassendes Konzept vorgelegt, wie künftig am Standort Nürnberg der Datenschutz umgesetzt werden soll.

Prof. Dr. Johannes Casper, der Hamburgische Beauftragte für Datenschutz und Informationssicherheit hierzu: „Der vorliegende Fall dokumentiert eine schwere Missachtung des Beschäftigtendatenschutzes. Das verhängte Bußgeld ist dementsprechend in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken. Ausdrücklich positiv ist das Bemühen der Konzernleitung zu bewerten, die Betroffenen vor Ort zu entschädigen und das Vertrauen in das Unternehmen als Arbeitgeber wiederherzustellen.“

Anmerkung der Redaktion: am 15.10.2020 meldet NDR 90,3:
„H&M legt keinen Widerspruch gegen das 35-Millionen-Euro-Bußgeld wegen Verstöße gegen den Datenschutz ein. Die Forderung des Hamburgischen Datenschutzbeauftragten ist damit rechtskräftig“.

Der Landesbeauftragte für Datenschutz und Informationssicherheit Baden-Württemberg erlässt erstmals eine datenschutzrechtliche Anordnung gegenüber einer Kommune

Die Stadt Tübingen führt seit einiger Zeit eine „Liste der Auffälligen“. Die listenmäßige Datenerfassung von Asylbewerbern, die durch bestimmte Verhaltensweisen, meist Rohheitsdelikte, angeblich aufgefallen sind, soll dazu dienen, so die tragende Rechtfertigung der Stadt, städtische Bedienstete vor Übergriffen dieses Personenkreises zu schützen. Die Stadt Tübingen nennt diese Liste „strukturierten Datenaustausch“.

„Die Klärung dieser datenschutzrechtlichen Frage, welche die kritisierte Datenverarbeitung aufwirft, gestaltet sich äußerst mühsam“, so der Landesdatenschutzbeauftragte Brink. Selten habe er in seiner Kontrollpraxis einen solchen Unwillen einer Behörde festgestellt, seine Anfragen umfassend zu beantworten, wie in diesem Fall. Auch in einem klärenden Gespräch vor Ort konnten rechtliche Grundlagen für diese Datenverwendung nicht dargelegt werden.

Mit einer förmlichen Untersagungsverfügung setzt LfDI Brink einen vorläufigen Schlusspunkt unter den sich seit eineinhalb Jahren hinziehenden Streit um die Rechtmäßigkeit der von der Stadtverwaltung geführten Liste.

Es gibt aber auch etwas zu feiern: 50 Jahre Datenschutz in Hessen

Vor 50 Jahren – am 13. Oktober 1970 – ist das Hessische Datenschutzgesetz als erstes Datenschutzgesetz der Welt in Kraft getreten. Es gab für dieses Gesetz kein Vorbild. Umso bemerkenswerter war der Weitblick, den die Initiatoren dieses Gesetzes besaßen, allen voran der damalige Chef der Hessischen Staatskanzlei, Willi Birkelbach, der den Entwurf dieses Gesetzes erarbeitet hatte. Er erkannte, dass sich mit der neuen Informationstechnik die Machtstellung von Staat und großen Organisationen verstärkte und sich neue Formen totalitärer Herrschaft abzeichneten, die den Freiheitsraum des Einzelnen bedrohen könnten. Er war davon überzeugt, dass rechtliche Regeln und öffentliche Kontrolle zwingend erforderlich waren, um diesen Gefahren abzuwehren. Bei den Beratungen des Gesetzes im Landtag gelangten die Abgeordneten zu der Überzeugung, dass diese Kontrolle nur durch eine selbstständige und unabhängige Stelle ausgeübt werden könne. So wurde schon 1970 die Institution des unabhängigen, nur dem Parlament verantwortlichen Datenschutzbeauftragten geschaffen. Nach Auffassung des heutigen Datenschutzbeauftragten Prof. Dr. Michael Ronellenfitsch war es folgerichtig, dass der Hessische Landtag auf Vorschlag von Ministerpräsident Albert Osswald und der damaligen Landesregierung Willi Birkelbach als ersten Datenschutzbeauftragten Hessens wählte.

Die Feststellung, dass im Datenschutz zentrale Impulse vom Land Hessen ausgingen, ist nicht als Eigenlob gedacht, sondern als schlichte Feststellung. Das gilt für den Begriff „Datenschutz“ sowie für die Umsetzung der Vorgaben des Bundesverfassungsgerichts und des Unionsrechts. Hessen führte ferner die Institution des oder der Datenschutzbeauftragten ein und bewältigte die Verknüpfung von Datenschutz und Informationsfreiheit. Das alles rechtfertigt es, den 50. Geburtstag des Hessischen Datenschutzes nicht nur als nostalgischen Gedenktag zu begehen.