· 

Schadenersatz für „ausspionierte“ H&M-Mitarbeiter*Innen?

 

 

Die Frankfurter Allgemeine Zeitung berichtete am 24.01.2020 davon, dass Datenschutzbehörde gegen H&M ein Bußgeldverfahren einleiten.

 

 

 Kann ein_e Mitarbeiter*In Schadenersatzansprüche stellen?

 


 

Verarbeitung von personenbezogenen Daten von österreichischen Mitarbeiter*Innen?

 

 

Nach Medienberichten wurden von H&M private Daten von Mitarbeiter*Innen bis hin zu Informationen über Krebserkankungen oder private Verhältnisse gespeichert.

 

Auch österreichische Mitarbeiter*Innen könnten betroffen sein.

 

 

Es geht um die Aufzeichnung sensibelster Daten zu Krankheiten und anderen persönlichen Umständen im H&M-Kundenzentrum für Deutschland und Österreich in Nürnberg(so faz.net). Auch futurezone.at und orf.at berichteten. Die Wiener Zeitung schrieb, dass sich H&M bereits geäußert hat.

 

 

Die Daten wurden offensichtlich von Vorgesetzten „gesammelt“ und dann in einer Datenbank gespeichert; sie kamen von informellen Gesprächen.

 

 

 

 

Schadenersatz?

 

Art 82 DSGVO ermöglicht jeder Person, die durch die rechtswidrige Verarbeitung ihrer Daten einen materiellen oder immateriellen Schaden erleidet, die Durchsetzung eines Anspruches auf Schadenersatz gegen den Verantwortlichen.

 

 

Wenn man die bisherige Judikatur, insbes. der LG Feldkirch gegen die Österreichische Post AG (im August 2019) oder auch die Entscheidung des AG Lübeck (im Oktober 2019) bezüglich der Veröffentlichung eines Mitarbeiter-Fotos auf Facebook betrachtet, dann kann mit gutem Grund argumentiert werden, dass diese rechtswidrige Verarbeitung von Daten von Mitarbeiter*Innen einen Schadenersatzanspruch rechtfertigt. Das LG Feldkirch judizierte, dass es ausreicht, wenn es die betroffene Person "stört", dass die Daten verarbeitet werden und die Verarbeitung unrechtmäßig ist, wobei das Urteil von der Österreichischen Post AG mit Berufung beim OLG Innsbruck bekämpft wurde.  

 

 

Die Höhe wird wohl zwischen 750,-- Euro bis 2.000,-- Euro liegen, je nachdem welche konkreten Daten für welchen Zeitraum verarbeitet wurden.

 

 

 

 

Was kann ein_e Mitarbeiter*In tun?

 

Als ersten Schritt empfehle ich, (ehemaligen) Mitarbeiter*Innen das Recht auf Auskunft iSd Art 15 DSGVO geltend zu machen, damit die betroffenen Personen Kenntnis darüber erhalten, welche konkreten Daten – abseits der Daten zur Erfüllung des Arbeitsverhältnisses – vom Dienstgeber verarbeitet wurden, und ob im konkreten Fall tatsächlich Daten verarbeitet wurden, deren Verarbeitung unzulässig ist oder war.

 

Wenn ein_e Mitarbeiter*in herausfindet, dass tatsächlich zB Gesundheitsdaten und damit sensible Daten iSd Art 9 DSGVO oder Daten über seine privaten Verhältnisse (zB Streitigkeiten in der Ehe, bevorstehende Scheidung), in unzulässigerweise verarbeitet wurden, dann kann Schadenersatz vom Verantwortlichen, dh demjenigen der die Daten rechtswidrig verarbeitet (hat), verlangt werden. Eine Beurteilung, in welcher Höhe ein Anspruch gerechtfertigt ist, kann nur im Einzelfall gemacht waren. Der Anspruch kann dann vor dem Landesgericht des Wohnsitzes der betroffenen Person gegen den Verantwortlichen, dh den Dienstgeber geltend gemacht werden, sofern keine einvernehmliche Einigung erzielt werden kann.

 

 

Auch der Hamburger Beauftragte für Datenschutz und Informationsfreiheit Johannes Caspar teilte nach Medienberichten mit, dass sich betroffene Personen vertraulich an ihn wenden könnten, zum Beispiel unter mailbox@datenschutz.hamburg.de.

 

Selbstverständlich besteht auch die Möglichkeit, dass sich österreichische betroffene Personen mit einer Beschwerde an die Österreichische Datenschutzbehörde wenden.

 

26.01.2020, Autor
Michael Schweiger, zert DSBA


Download
H_M DSGVO Mitarbeiter Schadenersatz.pdf
Adobe Acrobat Dokument 780.3 KB

Kommentar schreiben

Kommentare: 0