Kommentar zur H&M-Mitarbeiterbespitzelung

1. SituationH&M-Mitarbeiterbespitzelung

Schon vergangenes Jahr las man in Presseberichten über die massenhafte Ausspähung von Mitarbeiterinnen und Mitarbeitern des H&M-Servicecenters in Nürnberg. Privates und Sensitives wurde über Jahre hinweg heimlich zusammengetragen und gespeichert. Nun hat die zuständige Datenschutzaufsicht (HmbBfDI) ein Bußgeld in Höhe von 35,3 Millionen Euro verhängt. Neben diesem Bußgeld folgt nun der Imageschaden, nicht zuletzt durch die Verleihung des Negativpreises Big Brother Award der NGO Digitalcourage.

Die datenschutzrechtlichen Aspekte sind in diesem Artikel zusammengefasst. Abseits eines Verwaltungsaktes, eines sicherlich angemessenen und abschreckenden Bußgeldes, möchten wir die Situation der Betroffenen beleuchten. Natürlich können wir nicht im Namen derer sprechen, die betroffen sind, allerdings möchten wir versuchen, die Systematik hinter der Bespitzelung zu ergründen.

Vorausgeschickt sei, dass es sich um Interpretationen der Informationen handelt, die momentan frei verfügbar sind – diese liefern Ansatzpunkte und keine Gewissheit. Mit dem Tätigkeitsbericht des HmbBfDI ist erst Anfang nächsten Jahres zu rechnen. Und aus der Lektüre werden wir vermutlich nicht sehr viel mehr Informationen gewinnen können als aus der Pressemeldung. Bemerkt sei auch, dass bestimmte Arbeitgeber in speziellen Arbeitsumfeldern Kenntnis über sensitive Informationen ihrer Belegschaft verfügen müssen, um z.B. ihrer Fürsorgepflicht nachzukommen. Als Beispiel sei hier die schwangere Ärztin genannt, die vermutlich (schon im frühen Schwangerschaftsstadium) nicht mehr auf der Seuchenstation eingesetzt wird. Bei der Arbeit in einem Servicecenter ist dieser Umstand mit hoher Wahrscheinlichkeit nicht zu vermuten.

Gastbeitrag von lacrosse

Lacrosse ist betrieblicher Datenschutzbeauftragter in der Konzerndatenschutzorganisation einer deutschen Unternehmensgruppe. In seiner Freizeit engagiert er sich ehrenamtlich, um gemeinnützigen Vereinen bei der Umsetzung der DSGVO zu helfen.

Feedback und Fragen können direkt an ihn gerichtet werden. Spenden für seine Arbeit möchte er direkt dem Kuketz-Blog zukommen lassen. Ihr könnt also direkt an den Kuketz-Blog spenden.

2. Weil wir es können

Zunächst ist es notwendig, die »Situation« in mehrere Bestandteile zu zerlegen. Beginnen wir beim Offensichtlichen – dem Büroalltag. Dort, wo Menschen zusammenarbeiten, trifft Privates auf ein arbeitsrechtliches Schuldverhältnis – Geld gegen Arbeitszeit. Menschen sind soziale Wesen und der Arbeitsalltag ist ein Spiegel dessen. Dies reicht von Liebschaften, Hochzeiten, Freund- und Feindschaften bis hin zu Krankheiten, persönlichen Trauerfällen und auch Todesfällen. Scham oder Belustigung liegen am Tag nach der Firmenweihnachtsfeier oftmals dicht beinander. Der Arbeitsplatz ist auch immer ein Abbild von gesellschaftlichem Miteinander. Entsprechend findet man das gesamte emotionale Spektrum menschlichen Miteinanders auch während eines Arbeitstages. So manch einer spricht beim Kaffee oder beim Feierabendbier über Privates, mancher sogar über Intimes. Menschen sind soziale Wesen. Hier kommt es zu einer Überblendung von unterschiedlichen Bereichen, denn, nüchtern betrachtet, ist dieser »emotionale Beifang« für die Erfüllung des Arbeitsvertrages nicht erforderlich. Allerdings erleben wir, dass gute Zusammenarbeit oft auf Emotionen beruht. Nicht umsonst sollen gemeinsame Erlebnisse außerhalb der Arbeit das Team stärken – Teambuilding soll ein emotionales Wir-Gefühl erschaffen. Unternehmen fördern dieses Wir-Gefühl gezielt, denn eine vertrauensvolle Zusammenarbeit ist für die Arbeitsabläufe förderlich. Letzlich fußt auch der Arbeitsvertrag auf gegenseitigem Vertrauen, sodass ein Vertrauensverlust oder -bruch das Arbeitsverhältnis abrupt beenden mag. Vertrauen ist subjektiv und im Kern der Glaube, dass mein Gegenüber ein redlicher Zeitgenosse ist. Man kommt im Arbeitsleben nicht umhin, Soziales und Privates von Menschen zur Kenntnis zu nehmen – im Idealfall ist diese Kenntnisnahme mit dem Adjektiv diskret verbunden.

Letztlich erkennt auch das Datenschutzrecht diese Gemengelage an, indem es vom Arbeitgeber fordert, nur die für das Beschäftigtenverhältnis erforderlichen Daten zu verarbeiten. Mit anderen Worten: Von denjenigen, der am längeren Hebel sitzt, wird Mäßigung verlangt. »Er könnte zwar, darf aber nicht«.

[…] Die so erhobenen Daten wurden neben einer akribischen Auflistung der individuellen Arbeitsleistung u.a. genutzt, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten. […]

Quelle: Pressemeldung des HmbBfDI vom 01.10.2020

Offensichtlich war ein Hauptzweck der Ausspähung, eine scheinbar »sachliche« Entscheidungsgrundlage für die Fortführung von Beschäftigtenverhältnissen zu erlangen. Die dazu vorhandenen und geeigneten Kennzahlen, wie die der Arbeitsleistung heranzuziehen, reichte den Führungskräften dabei nicht aus. Man ging über das erforderliche und zulässige Maß hinaus. Aber dies ist eigentlich die nachgeordnete Erkenntnis. Vielmehr muss man sich fragen »Wer entscheidet, wer entscheidet?«. Mit dieser Frage ist nicht der vordergründige Zweck einer etwaigen »Mitarbeiterentsorgung« gemeint – man verzeihe an dieser Stelle den Zynismus – sondern diejenigen, die entscheiden (Macht), dass beispielsweise der Krankenstand der Arbeitskräfte zu hoch ist oder wie Gehaltserhöhungen bemessen und zugeteilt werden. Es ist das »Was«, das entschiedener ist als das »Wie«. Man könnte auch fragen: Wer legt die Höhe der Messlatte fest, anhand welcher Führungskräfte Einzelfälle (Autorität) entscheiden sollen? Denn vor einer Entscheidung im Einzelfall kommt die Legitimation zu entscheiden. Es ist Spekulation, ob diese Legitimation ausdrücklich oder eine interpretierte Ermächtigung war. Dies ist auch nicht entscheidend, denn umfangreiche Ausspähmaßnahmen finden kaum einfach als Selbstzweck statt. Eine Ermächtigung wiederum bedingt ein Machtverhältnis, das gerade bei befristeten Arbeistverträgen eine extreme Machtasymmetrie erzeugen muss. Ohne Macht und Ermächtigung sind Zustände wie beim H&M-Servicecenters kaum vorstellbar. Sie sind die Voraussetzung für das, was folgt.

3. Kein Nichtkönnen und Nichtdürfen

Zwei entscheidende Einsichten hätten diesem ungesunden Machtverhältnis entgegengestanden. Die erste, »Ich kann das nicht tun«, wäre das Ergebnis persönlichen Denkens gewesen. Das Ergebnis wäre eine subjektive Haltung – das, was man gewöhnlich unter Anstand versteht. Etwas »nicht tun dürfen« bringt zum Ausdruck, dass eine Ermächtigung innerhalb des eigenen kleinen Arbeitskosmos von einer höherrangigen Vorschrift (wie das Verbot mit Erlaubnisvorbehalt in der DSGVO) in die Schranken verwiesen wird. Es hatten gut fünfzig Führungskräfte an der Bespitzelung mitgewirkt oder hatten von ihr Kenntnis. Niemand gelangte offenbar zu einer dieser Einsichten.

Ein derartiger Zustand, der über mindestens sechs Jahre Bestand hatte und dutzenden Menschen bekannt war, ist keineswegs ein Geheimnis, sondern vielmehr Gemeinwissen. Dass dieses Wissen einer bestimmten Gruppe vorenthalten wurde, zeigt letztlich nur ein weiteres Machtgefälle auf.

Die Fähigkeit, 60 Gigabyte vornehmlich an textlichen Dateien (Notizen) anzusammeln und dies über mehrere Jahre hinweg, erfordert ein systematisches Vorgehen – Informationsgewinnung über Flur- und Einzelgspräche bedingen Austausch (wie machst du es denn?) und Organisation innerhalb einer geschlossenen Gruppe. Dass sogenannte Welcome-Back-Talks nach Urlaub oder Krankheit geführt wurden, zeigt zudem, dass ein System der Informationsextraktion institutionalisiert worden ist. Gleichwohl können Systeme nur aufrecht erhalten werden, wenn es dazu eine Motivation gibt – sonst verlaufen sie oft im Sande.

[…] Die Aufzeichnungen wurden bisweilen mit einem hohen Detailgrad vorgenommen und im zeitlichen Verlauf fortgeschrieben. […]

Quelle: Pressemeldung des HmbBfDI vom 01.10.2020

4. Noch seines eigenen Glückes Schmied?

Risikieren wir einen kurzen Exkurs in die Vereinigten Staaten. Selbst in den USA, mit ihrem Flickenteppich an föderalistischen Datenschutzregularien, die Arbeitgebern wesentlich mehr Freiräume bei der Überwachung ihrer Angestellten ermöglichen, ist es fraglich, ob diese verdeckte Bespitzelung dort vollends zu rechtfertigen gewesen wäre.

No reasonable expectation of privacy in workspace

In der US-Rechtskultur mag oftmals das Recht eines Arbeitgebers überwiegen, die Risiken zu minimieren, die von seinen Angestellten ausgehen könnten. Allerdings sind drakonische Strafen und hohe Schadensersatzzahlungen z.B. bei Diskriminierung auf der anderen Seite des Atlantik das Gegengewicht. Hier mag es nicht so schwer wiegen, dass der Arbeitgeber sich private Informationen über seine Angestellten beschafft hat. Sofern diese aber in diskriminierender Art und Weise z.B. bei einer Kündigung genutzt wurden, kann es für das Unternehmen extrem teuer werden. Im vorliegenden Fall ist dies sogar nicht unwahrscheinlich, denn die erhobenen sensitiven Daten wären durchaus dazu geeignet.

Im Gegensatz dazu kennen wir in Europa ein Grundrecht auf den Schutz der personenbezogenen Daten aus Artikel 8 (1) der EU-Grundrechte-Charta. Dieses Abwehrrecht gegenüber dem Staat entfaltet eine Strahlwirkung bis in die DSGVO. Denn ErwG 1 DSGVO bezieht sich direkt darauf.

[…] Gemäß Artikel 8 Absatz 1 der Charta der Grundrechte der Europäischen Union (im Folgenden „Charta“) […] hat jede Person das Recht auf Schutz der sie betreffenden personenbezogenen Daten […]

Auch Art. 1 (2) DSGVO spricht vom Schutz von Grundrechten und Grundfreiheiten.

[…] Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. […]

In Deutschland kennen wir diese Ableitung aus den Allgemeinen Persönlichkeitsrechten des Grundgesetztes, als das viel zitierte Recht auf informationelle Selbstbestimmung (Und ja. Auch die unternehmerische Freiheit ist ein Grundrecht. Nur ist es in diesem Fall ziemlich klar, dass nicht ein Grundrecht ausgeübt werden kann, indem man die Grundrechte anderer verletzt).

Was hat der H&M-Fall nun mit Grundrechten und Grundfreiheiten zu tun? Eine ganze Menge, würde man instinktiv meinen, nur kann man es auch benennen? Die Antwort ist aber insofern sehr relevant, weil sie verständlicher macht, was einem Betroffenen gleichsam genommen wurde. Und letztlich warum das manchmal sperrige Datenschutzrecht notwendig ist, um Grundrechte und -freiheiten zu schützen.

Eine empathische Sichtweise auf die Betroffenen würde Begriffe wie Ausgeliefertsein, Hilflosigkeit, Scham, Misstrauen, Entsetzen, das Gefühl, hintergangen worden zu sein, usw. zu Tage fördern. Einerseits können wir, wie eingangs erwähnt, nicht im Namen der Betroffenen schreiben, andererseits trifft es die Gesamtwirkung der oben genannten Bestandteile nicht ganz. Denn die Auswirkungen einer Profilierung auf den Betroffenen sind entscheidend. Und dies hat auch mit der Phrase zu tun: »Jeder ist seines eignen Glückes Schmied.« Inwieweit diese Redewendung vollumfänglich gültig ist, sei dahingestellt. Es geht um die Kernidee des Leistungsprinzips, dass jeder Mensch durch seinen Willen zur persönlichen Leistung sein Fortkommen mitbestimmen kann – man könnte auch sagen, seine berufliche Zukünftigkeit mitgestalten kann.

Wie viele der Betroffenen werden sich nun fragen: Habe ich das Projekt nicht bekommen, weil ich über die Krankheit meiner Eltern erzählt habe – unterstellt man mir nun eine eingeschränkte Leistungsfähigkeit? Oder habe ich die Beförderung nicht erhalten, weil ich vielleicht beiläufig über meinen späteren Kinderwunsch gesprochen habe?

Um es klar zu sagen, wir sprechen von persönlichen Momentaufnahmen. Manche mögen so eintreffen, manche nicht. Eine Profilierung dieser Momentaufnahmen ist niemals ein exaktes Abbild dieser Person und lässt nur einen sehr begrenzten Schluss auf deren zukünftiges »Verhalten« zu – wenn überhaupt. Was aber unweigerlich geschieht, ist dass der Betroffene durch zukünftige Leistung nicht mehr mitgestalten kann – er bleibt reduziert auf die Summe seiner vergangenen Momentaufnahmen. Denn derjenige, der diese Summe begutachtet, wird unweigerlich ein Werteurteil fällen. So bleibt einem Mitarbeiter auch die Chance auf einen Neuanfang bei einem Vorgesetztenwechsel verwehrt – denn es existieren ja vermeintlich sachliche Momentaufnahmen über ihn.

Unterstütze den Blog mit einem Dauerauftrag!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

5. Zukünftigkeit

Das Fazit muss für den Betroffen fatal negativ ausfallen. Profilierten Menschen wird heimlich die Grundlage genommen, die eigene Zukünftigkeit mitzugestalten. Dies wird zunächst dadurch deutlich, dass der Betrofffene schon die Entscheidungshoheit darüber verliert, was mit seinen persönlichen Informationen geschieht.

Zusätzlich eigneten sich einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden an, das von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen reichte.

Quelle: Pressemeldung des HmbBfDI vom 01.10.2020

Einmal in der Verfügungsgewalt des Unternehmens lag es allein in dessen Ermessen, wozu die angeeigneten Daten verwendet wurden. Natürlich könnte ein Mitarbeiter seine Zukunft gestalten, indem er das Unternehmen von sich aus verlässt – was einige bestimmt tun werden. Allerdings ist das nicht die Frage, denn in Deutschland kann man mit Fug und Recht voraussetzen, nicht von seinem Vorgesetzten verdeckt profiliert zu werden. Das ist eine Selbstverständlichkeit und keine Gunst, die gewährt wird.

Zum Abschluss sei noch einmal auf die Pressemeldung des HmbBfDI des verwiesen, die auch die Maßnahmen von H&M erwähnt. In diesem Beitrag haben wir versucht, die Situation der Betroffenen darzustellen, was allzu selten geschieht. Daher ist es dem Leser überlassen, wie er die getroffenen Maßnahmen des Unternehmens bewertet.

P.S. An dieser Stelle eine Danksagung an Tschaeggaer für das unermüdliche Korrekturlesen.

Bildquellen:

Security Camera: Good Ware from www.flaticon.com is licensed by CC 3.0 BY

Über den Autor | Gastbeitrag

Gastbeiträge werden von Autoren verfasst, die nicht zum festen Redaktionsteam des Kuketz-Blogs gehören. Bevor ein Gastbeitrag veröffentlicht wird, findet eine inhaltliche Abstimmung mit mir statt. Dabei übernehme ich die redaktionelle Bearbeitung des Textes, prüfe den Inhalt und bereite den Beitrag sorgfältig für die Veröffentlichung im Blog vor.

Gastbeitrag ➡

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡


Diskussion

5 Ergänzungen zu “Kommentar zur H&M-Mitarbeiterbespitzelung”

  1. Comment Avatar Robert sagt:

    Vermutlich ist dieser Fall hier nur die berühmte Spitze des Eisbergs. Das kam auch nur ans Licht, weil versehentlich ein internes Netzlaufwerk für ein paar Stunden falsch konfiguriert war und plötzlich eine Datenbank von 60GB öffentlich frei gab. Ohne diesen „Konfigurationsfehler“ wäre diese unerlaubte, ungesetzliche Vorgehensweise vollkommen problemlos bestimmt noch viele Jahre oder Jahrzehnte weitergegangen. Also im Grunde handelt es sich hier um einen reinen Glückstreffer.
    Selbst wenn man die hier verwendeten Methoden schon ablehnendswert findet, so existieren dennoch viel perfidere, mächtigere und -technisch betracht- noch ausgefeiltere Mittel und Wege um Mitarbeiter zu überwachen und „durchsichtiger“ zu machen. Kamera-, GPS- und Videoaufzeichnungssysteme sind heutzutage so winzig, günstig und einfach zu montieren, sodass einer ganzheitlichen Mitarbeiter-Überwachung nur sehr wenig gegenübersteht. Z.B. nutzen viele Firmen ganz selbstverständlich GPS-Sender für ihren Fuhrpark / Lieferservice und 24h-Videoüberwachung -nicht nur ausschließlich- für Eingangs- und Zugangsbereiche.
    Man muß leider fürchten, das hier ebenfalls gilt: Alles was technisch machbar ist, um mehr Informationen und damit mehr Macht bzw. mehr Kontrolle über Menschen/Mitarbeiter zu ereichen wird einfach gemacht.
    Inwieweit -bei solchen Konstellationen- frei verfügbare Daten und Informationen von den „Exhibitionismus-Plattformen“ (Facebook, Instagram, Linkedin, XING, Amazon-Bewertungen, Forenbeiträge, Pinterest, TripAdvisor, etc. etc.), die Mitarbeiter dort freiwillig und öffentlich gepostet haben, intern in einem Unternehmen im Personalbereich verwendet und / oder verarbeitet werden dürfen, vermag ich nicht zu beurteilen. Weiß da vielleicht jemand mehr?

  2. Comment Avatar Samuel sagt:

    Vielen Dank für diesen großartigen Beitrag!

  3. Comment Avatar Ralph Moench sagt:

    Ich habe gar nicht verstanden, was genau daran bemängelt wird.

    Es muss doch zuerst einmal dafür Verständnis aufgebracht werden, wenn ein Arbeitgeber seine Mitarbeiter überwacht – auch zu deren eigener Sicherheit.

    Im Einzelhandel wird sehr viel von eigenen Angestellten gestohlen. Dies geschieht zum Beispiel indem der Kassierer ihm bekannten Personen Ware aushändigt ohne diese zu scannen.

    Oder es wird Ware in der der Handtasche hinausgeschmuggelt.

    Dieses Verhalten schadet dem Unternehmen, ehrlichen Kollegen und letztlich auf dem Kunden.

    Auf der anderen Seite steht die Privatsphäre. Leider sind wir an einem Punkt angekommen, wo Privatsphäre absolut gesetzt wird und gar keien Abwägung mit anderen berechtigten Interessen mehr stattfindet.

    • Comment Avatar Lacrosse sagt:

      Hallo Ralph Moench,

      es mag Fälle geben, in denen es gerechtfertigt ist, dass ein Arbeitgeber Überwachungsmaßnahmen durchführt. Dies kann aber kaum anlasslos geschehen und erstreckt sich i.d.R. nicht auf das Privatleben der Angestellten – genau dies ist bei H&M geschehen. Es handelt sich bei dem Service-Center um den Kundenservice von H&M, daher sind Diebstähle dort eher nicht zu vermuten.

      Ansonsten hätte H&M 1) dies geltend gemacht und 2) das Bußgeld kaum akzeptiert (der Bescheid ist inzwischen rechtskräftig).

      D.h. es bestand keine Rechtsgrundlage, wie ein berechtigtes Interesse nach Art. 6 (1) lit. f) DSGVO. Auch ist zu bezweifeln, welches konkrete berechtigte Interesse der Arbeitgeber H&M geltend machen könnte, wenn er systematisch und massenhaft das Privatleben seiner Mitrabeiter ausforscht (und alle Mitarbeiter anlasslos unter Generalverdacht stellt). Ein pauschaler Verweis darauf, dass dem Unternehmen ein Schaden drohen könnte, reicht hierfür jedensfalls nicht aus. Dem entsprechend kann es hierfür auch kein Verständnis geben.

      VG Lacrosse

    • Comment Avatar C1 sagt:

      Hallo Ralph Moench,

      dann müsste aber auch jeder Büroarbeitsplatz mit einer Kamera überwacht werden. Schließlich kann der Arbeitnehmer Zeit stehlen, indem er einer anderen Beschäftigung nachgeht. Wollen wir das wirklich? Zudem müssen die Bilder jeweils gesichtet werden, was ein erheblicher Zeitaufwand mit sich bringt. Ich bin der Meinung, dass es andere Kontrollmechanismen geben muss.
      Beim genannten Beispiel könnte ich mir zum Beispiel vorstellen, dass vor dem entfernen oder deaktivieren der elektronischen Warensicherung ein Scan nötig ist.

      VG C1

HilfeWenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.