Die spanische Datenschutzbehörde (AEPD) hat ein Bußgeld erlassen, dass für viele Unternehmen ein Weckruf sein sollte. Der Fall dreht sich um nicht ausreichende technisch-organisatorische Maßnahmen bei der bekannten Modemarke Uniqlo, die zu einer erheblichen Verletzung des Datenschutzes führte.
Alles begann, als ein ehemaliger Dienstleister von Uniqlo in Spanien um seine Gehaltsabrechnungen bat. Uniqlo kam dieser Bitte nach, machte dabei jedoch einen folgenschweren Fehler: Statt nur die angeforderten Unterlagen zu versenden, wurden versehentlich auch die Gehaltsabrechnungen von 446 anderen Personen mitgeschickt. Dies führte zur unbefugten Offenlegung einer Vielzahl an Gehaltsinformationen.
Dieser Fall zeigt, dass der Schutz personenbezogener Daten von Arbeitnehmern, insbesondere der Gehaltsdaten, anscheinend nicht so selbstverständlich ist, wie man dies erwarten würde. Gehaltsdaten sind zudem personenbezogene Daten, an denen wohl ein Großteil der Arbeitnehmer und Arbeitnehmerinnen ein besonderes Geheimhaltungsinteresse haben dürften. Zumindest auf deutschen Gehaltsabrechnungen sind auch Informationen zur Religionszugehörigkeit zu finden und hierbei handelt es sich dann sogar um besonders sensible Informationen gemäß Art. 9 DSGVO.
Für Unternehmen ist dieser Fall daher eine deutliche Warnung. Die AEPD machte klar, dass Uniqlo keine ausreichenden technischen und organisatorischen Maßnahmen ergriffen hatte, um solche Datenpannen zu verhindern. Das ursprünglich verhängte Bußgeld betrug sogar von 450.000 Euro und unterstreicht die Schwere des Verstoßes. Allerdings zeigte sich die Behörde auch bereit, Kooperationsbereitschaft und schnelle Verbesserungen zu honorieren: Nach einem Schuldeingeständnis, der zügigen Umsetzung neuer Schutzmaßnahmen und einer freiwilligen Zahlung wurde das Bußgeld auf 270.000 Euro reduziert.
Dieser Fall sollte für alle Unternehmen ein Weckruf sein, auch den internen Prozessen zur Verarbeitung von Mitarbeiterdaten entsprechende Aufmerksamkeit zu schenken. Angemessene Schutzmaßnahmen (technisch-organisatorische Maßnahmen), Schulungen und klare Richtlinien für den Umgang mit personenbezogenen Daten sind auch im Bereich der Personaldaten unerlässlich.