Zum Inhalt springen Zur Navigation springen
Geldbuße von 20.000 Euro wegen illegaler Mitarbeiterüberwachung

Geldbuße von 20.000 Euro wegen illegaler Mitarbeiterüberwachung

Die französische Datenschutzbehörde CNIL hat ein Unternehmen mit einer Geldstrafe von 20.000 Euro belegt, weil es u.a. ein Videoüberwachungssystem eingerichtet hatte, das seine Mitarbeiter ständig überwachte.

Beschwerden von Mitarbeitern als Anstoß für Untersuchungen

Das betroffene Pariser Unternehmen bietet Übersetzungen unter anderem in den Bereichen Recht und Finanzen an. Es beschäftigt lediglich neun Mitarbeiter und erwirtschaftete 2017 einen Umsatz von 885.739 Euro, sowie dabei einen Nettoverlust von 110.844 Euro.

Zwischen 2013 und 2017 gingen bei der Commission Nationale de l’informatique et des Libertés (CNIL) mehrere Beschwerden von Mitarbeitern über die Einführung eines Videoüberwachungssystems auf dem Firmengelände ein. Bei der Untersuchung dieser Beschwerden hat die CNIL das Unternehmen mit Schreiben von Oktober 2013 und Juni 2016 zweimal auf die einschlägigen datenschutzrechtlichen Vorschriften hingewiesen und das Unternehmen aufgefordert seine Praktiken zu ändern. Insbesondere dahingehend, dass Mitarbeiter nicht kontinuierlich gefilmt werden und dass den Mitarbeitern Informationen über die Datenverarbeitung zur Verfügung gestellt werden müssen. Die CNIL hat das Unternehmen auch aufgefordert, ihr zusätzliche Informationen über das eingeführte Videoüberwachungssystem zur Verfügung zu stellen. Das Unternehmen gab daraufhin an, dass die Videoüberwachung zur Gewährleistung der Sicherheit gerechtfertigt sei und nicht zur gezielten Überwachung der Aktivitäten der Mitarbeiter eingesetzt werde.

Aufgrund weiterer Beschwerden wurde im Februar 2018 auf dem Gelände der Gesellschaft ein Vor-Ort-Audit durch die CNIL durchgeführt. Dabei wurde festgestellt, dass sich auf dem Gelände des Unternehmens drei Kameras befanden, darunter eine im Büro der angestellten Übersetzer, das für die Öffentlichkeit nicht zugänglich ist. Diese Kamera filmte sechs Arbeitsplätze und einen Schrank mit den Arbeitsunterlagen des Unternehmens und ermöglichte es, die erfassten Arbeitsplätze kontinuierlich zu überwachen. Den Mitarbeitern wurden seitens des Unternehmens keinerlei Informationen über das Videoüberwachungssystem zur Verfügung gestellt (vgl. Art. 13 DSGVO). Auch wurden bisher keine Hinweisschilder angebracht, sowie die zulässige Speicherfrist überschritten.

Zahlreiche DSGVO-Verstöße

Daneben wurde aber noch weitere Verstöße festgestellt:

Moniert wurde beispielsweise, dass geeignete technische und organisatorische Maßnahmen für den Schutz personenbezogener Daten fehlen, um die Sicherheit der Daten zu gewährleisten und zu verhindern, dass unbefugte Dritte Zugang zu diesen erhalten. Insofern seien die Vorgaben des Art. 32 DSGVO nicht erfüllt.

Zugriffe zu den Computerarbeitsplätzen der Mitarbeiter waren ohne Weiteres möglich. Es gab lediglich einen Zugang, den jeder Arbeitnehmer kannte und nutzen konnte. Dadurch sollte gewährleistet werden, dass jeder Mitarbeiter im Falle einer Abwesenheit Zugriff auf die Projektdateien der anderen Mitarbeiter haben konnte. Ebenso stellte sich heraus, dass die gesamte Kommunikation zwischen dem Unternehmen und seinen Kunden über eine allgemeine E-Mail-Adresse erfolgte, die allen Mitarbeitern über ein achtstelliges gemeinsames Passwort zugänglich war.

Mit dem Need-to-Know Prinzip hat dies natürlich nur wenig gemein. Insbesondere, wenn man bedenkt, dass es sich um Übersetzungen im juristischen Kontext handelt, die womöglich besonders sensible Daten umfassen und deshalb strengeren Anforderungen unterliegen können.

Weitere Untersuchung nach Fristablauf

Nach Ablauf der von der CNIL eingeräumten Umsetzungsfrist fand im Oktober 2018 ein erneutes Audit statt, welches jedoch ergab, dass das Unternehmen keine zufriedenstellenden Maßnahmen ergriffen hatte und der Arbeitgeber bei der Erfassung von Mitarbeitern mittels Videoüberwachung immer noch gegen die Datenschutzgesetze verstößt. So befand sich im Büro der Mitarbeiter weiterhin die Kamera und zeichnete die Mitarbeiter ständig auf. Auch wurden den Arbeitnehmern keine Informationen zur Verfügung gestellt, in denen insbesondere der Zweck der Verarbeitung, die Dauer der Speicherung, die Personen, an die die Daten übermittelt wurden, die Identität des für die Verarbeitung Verantwortlichen und die Verfahren zur Ausübung der Rechte angegeben sind.

Wieso „nur“ 20.000 Euro Strafe?

Aufgrund des vorliegenden Sachverhalts und der Vielzahl an Mängeln stellt sich natürlich zurecht die Frage, warum bei dauerhaften und wiederholten Verstößen gegen die DSGVO, sowie der beharrlichen Weigerung der Umsetzung von Vorgaben, lediglich ein Bußgeld in Höhe von 20.000 € und ein Säumniszuschlag von 200 € pro Tag bei Nichtbefolgung ausgesprochen wurde.

So war tatsächlich seitens der Commission zunächst eine Geldbuße in Höhe von 750.000 € angedacht, sowie ein Zwangsgeld in Höhe von 1.000 € für jeden Tag einer nicht erfolgten Umsetzung ab zwei Tagen nach Bekanntgabe. Wieso also dann eine so drastische Reduzierung?

Zur Erklärung könnte angeführt werden, dass es sich bei der UNIONTRAD COMPANY um ein sehr kleines Unternehmen mit lediglich neun Mitarbeitern handelt. Daneben wurde seitens der CNIL die finanzielle Situation des Unternehmens berücksichtigt, wonach sich für 2017 ein negatives Nettoergebnis ergab. So betont die CNIL, dass die Strafe zwar abschreckend aber auch angemessen und verhältnismäßig sein muss.

Einhaltung der DSGVO auch bei Kleinstunternehmen und Dienstleistern

Natürlich lässt sich der Beschluss samt getroffener Maßnahmen nicht eins-zu-eins auf andere Fälle übertragen. Es zeigt jedoch ganz gut, dass sich auch Kleinstunternehmen nicht in Sicherheit wiegen können, wenn sie eklatant gegen datenschutzrechtliche Vorgaben verstoßen und den Beschäftigtendatenschutz ignorieren. Insbesondere bei Beschwerden von Mitarbeitern oder Kunden werden die Aufsichtsbehörden tätig.

Insofern sollten sich Unternehmen jeder Größe Gedanken zur Einhaltung der Grundprinzipien der DSGVO machen und geeignete technische und organisatorische Maßnahmen treffen. Daneben zeigt sich aber auch, wie wichtig es ist, seine Dienstleister ordentlich auszuwählen und regelmäßig zu überprüfen. Jeder Verantwortliche sollte deshalb hinterfragen, ob er über sämtliche von ihm eingesetzten Firmen weiß, wie diese mit den zur Verfügung gestellten Daten umgehen und welche Maßnahmen sie zum Schutz personenbezogener Daten umgesetzt haben. Beinahe zwangsweise hat man diese Fragen bei den „Global Playern“ im Auge, übersieht sie aber allzu oft bei den vielen kleinen Unternehmen, die man einsetzt und denen man sensible Daten anvertraut – seien es Übersetzungsbüros, externe Dienstleister zur Lohnbuchhaltung oder kleinere IT-Unternehmen zur Wartung der Systeme.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Die CNIL hat auch der franz. SERGIC – einem Immobilienunternehmen – eine Geldbuße von 400.000 € auferlegt. Verstoß gegen Art. 32 DS-GVO und Art. 5 (1) lit. e DS-GVO.

    Nutzer konnten mit minimaler Änderung der URL auf Daten anderer Nutzer zugreifen – darunter Ausweiskopien, Bankdaten, Steuernachweise usw.

    Es war kein Löschkonzept vorhanden, Daten wurden unbegrenzt gespeichert.

  • Finde ich sehr berechtigt und gut, dass hier durchgegriffen wird. Vielen Dank für den Artikel.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.