„Schwierig im Umgang – Personalchefin (Sarah) Kreienbühl sorgt bei der Migros mächtig für Unruhe“ titelt das Schweizer Wirtschaftsmagazin „Bilanz“. Die Rede ist von „Geheimdienst-Methoden“ und dem „Vorwurf der falschen Kommunikation“ der obersten Personal- und Kommunikationschefin. Die habe „auch Methoden angewandt, die an Geheimdienste erinnerten“. Im Detail: Laut «Handelszeitung» seien  Geschäftshandys nach Telefonaten mit Journalisten durchsucht worden. Auch E-Mail-Konten seien gescannt worden, schrieb die «Republik». Die Handelsgruppe Migros habe dies bestätigt, das sei aber nur bei zwei Personen gemacht worden.

In Kreienbühls Auftrag hätten Forensik-Experten der Big-Four-WP-Gesellschaft KPMG die Handys der verdächtigen Mitarbeiter gecheckt. Und: Die Geschäftsleitung und Verwaltungsrat seien nur in Kenntnis gesetzt worden, so „Bilanz“.

 

 

Dazu fünf Fragen an Datenschutz-Anwalt Tim Wybitul von Latham Watkins:

Dürfen Unternehmen auch in Deutschland Telefone der eigenen Mitarbeiter überprüfen lassen, um ein Leck zu finden? 

Wybitul: Ja, Anruflisten von Firmentelefonen darf der Arbeitgeber tatsächlich überprüfen. Das ist etwas Anderes, als wenn das Unternehmen die Anrufe mithören würde. Aber auch beim Auswerten von Telefon-Verbindungsdaten ist nicht alles erlaubt.

 

Und was ist nicht erlaubt bei solchen Mitarbeiterkontrollen?

Ganz wichtig ist: Die Mitarbeiter müssen vorher wissen, mit welchen Überwachungsmaßnahmen sie zu rechnen haben. Je dringender, konkreter und wichtiger der Anlass einer solchen Kontrolle ist, desto eher kann eine Auswertung durch das Unternehmen zulässig sein.

Das ist letztlich eine Abwägung zwischen berechtigten Kontrollinteressen des Arbeitgebers und dem Recht der betroffenen Mitarbeiter auf den Schutz ihrer Daten. Vor allem darf der Arbeitgeber nur so viele Daten verarbeiten, wie er für die jeweilige Kontrolle tatsächlich braucht. Deutsche Gerichte schauen da sehr genau hin.

 

Also ist es entscheidend, dass die Mitarbeiter wissen, dass ihre Telefonate und E-Mails kontrolliert werden können?

Transparenz ist eines der wichtigsten Prinzipien der EU-Datenschutz-Grundverordnung (DSGVO). Die Mitarbeiter sollen die Kontrolle über ihre Daten haben. Das setzt voraus, dass sie wissen, wie ihr Arbeitgeber ihre Daten verarbeitet. Im Klartext: Je besser ein Unternehmen seine Mitarbeiter darüber informiert, mit welchen Kontrollen sie rechnen müssen, desto eher darf es solche Kontrollen durchführen. Viele Firmen informieren ihre Angestellten deshalb in entsprechenden Datenschutz-Informationen über Compliance-Kontrollen oder andere Überwachungsmaßnahmen.

 

Wann wäre denn diese Ausforschung der Mitarbeiter-Telefonate definitiv rechtswidrig? 

Wenn das Management etwa seinen Mitarbeitern nicht vorher gesagt hat, mit welchen E-Mail-Kontrollen oder Überprüfungen der gewählten Telefonnummern sie rechnen müssen. Über solche Datenschutzinformationen sollten die Unternehmen ihre Mitarbeiter von Anfang an aufklären: Beispielsweise über eine Anmeldemaske auf ihrem PC, schon am ersten Arbeitstag.  Auf der sie anklicken müssen, dass sie den Hinweis über solche Kontrollen gelesen und verstanden haben.

Es reicht nicht, nur versteckt in einer Betriebsvereinbarung auf dem Firmenlaufwerk oder mit einem Aushang am Schwarzen Brett in der Teeküche auf diese Kontrollen hinzuweisen. Das Unternehmen muss ja im Ernstfall nachweisen können, dass es den einzelnen betroffenen Mitarbeiter informiert hat. Das Management muss bei jedem einzelnen Angestellten, dessen Daten es prüft, auch nachweisen können, dass er von dieser Überwachungsmöglichkeit – jedenfalls theoretisch – wusste. Es reicht gerade nicht, wenn ein Manager seiner erstaunten Belegschaft erst im Nachhinein mitteilt, man wolle nunmehr ein Leck oder einen sonstigen Pflichtverstoß aufklären.

 

Und derlei Datenschutzverstöße würden sogar das Privatvermögen von Top-Managern und sogar Managern auf den Ebenen darunter gefährden?

Spätestens seit Google ein Bußgeld von 50 Millionen Euro aufgebrummt bekam, laufen bei Datenschutzanwälten in der EU die Telefone heiß. Manche Manager haben offenbar erst jetzt begriffen, wie ernst es manche europäischen Behörden mit der DSGVO nehmen.

Vielen Führungskräften ist bis heute unklar, dass sie auch als Entscheidungsträger unterhalb der Top-Ebene für Datenschutzbußgelder mithaften können. Die Bußgelder gegen einzelne Manager persönlich können bis zu 20 Millionen Euro betragen. Und da kommen im schlimmsten Fall noch Regeressforderungen des Unternehmens oben drauf. Dass die Behörden gegen große Unternehmen sogar Milliarden-Bußgelder bis zu vier Prozent vom Weltumsatz verhängen können, trifft am Ende auch die Boni der Manager. Bei einer Höchstsumme von bis zu vier Prozent vom globalen Umsatzes kann Einiges zusammenkommen – und manchen Manager könnte es den Job kosten.

 

https://www.bilanz.ch/unternehmen/personalchefin-kreienbuhl-sorgt-bei-der-migros-machtig-fur-unruhe

Erste DSGVO-Buße: Latham-Mandantin Knuddels kommt gut davon