Amazon muss wegen übermäßiger Mitarbeiterüberwachung 32 Millionen Euro Strafe zahlen

Amazon wurde von der französischen Datenschutzbehörde CNIL (Commission Nationale de l’Informatique et des Libertés) am 27. Dezember 2023 wegen übermäßiger Überwachung der Mitarbeiter in seinen Lagern in Frankreich mit einer Geldstrafe von 32 Millionen Euro (27 Millionen Pfund) belegt.

Die Untersuchung wurde aufgrund von Beschwerden von Mitarbeitern eingeleitet und ergab, dass Amazon France Logistique ein invasives System zur Überwachung der Arbeitsleistung, der Pausen und der Produktivität einsetzte.

Die Mitarbeiter erhielten Scanner, um ihre Aufgaben zu dokumentieren, darunter Tätigkeiten wie das Einräumen oder Entnehmen von Artikeln aus Regalen oder das Verpacken von Artikeln. Die Scans wurden zur Bewertung der Arbeitsqualität und der Inaktivitätszeiten verwendet.

Die CNIL hielt die Einführung eines übermäßig genauen Systems zur Messung der Arbeitsleistung für rechtswidrig, da es die Mitarbeiter dazu zwingen könnte, jede Pause zu rechtfertigen. Auch die Scangeschwindigkeit wurde angesichts des Risikos von Fehlern bei schneller Abfolge kritisch geprüft. Darüber hinaus hielt die CNIL die Speicherung der Systemdaten durch Amazon für 31 Tage für übermäßig.

Amazon widersprach diesem Vorwurf entschieden, betonte die wesentliche Rolle von Lagerverwaltungssystemen für Sicherheit und Effizienz und behielt sich das Recht vor, Berufung einzulegen.

Die CNIL hat folgende Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) festgestellt:

• Nicht-Einhaltung des Grundsatzes der Datenminimierung (Artikel 5.1.c der DSGVO): Der Grundsatz der Datenminimierung besagt, dass Unternehmen die Erhebung und Verarbeitung personenbezogener Daten auf das für den angegebenen Zweck erforderliche Maß beschränken sollten. Amazon speicherte alle Details zu den Qualitäts- und Produktivitätskennzahlen der Mitarbeiter aus dem Vormonat und nutzte diese, um Coaching-Maßnahmen oder Versetzungen zu beschließen. Laut CNIL hätten die Vorgesetzten lediglich Echtzeitdaten oder aggregierte Daten benötigt, um etwaige Schwierigkeiten der Mitarbeiter zu erkennen.
• Nichtgewährleistung der rechtmäßigen Datenverarbeitung (Artikel 6 DSGVO): Bestimmte Leistungsindikatoren verlangten von den Mitarbeitern, Unterbrechungen bei der Nutzung des Scanners zu begründen, was von der CNIL als Eingriff in die Privatsphäre angesehen wurde.
• Verstöße im Zusammenhang mit Arbeitsplänen und Mitarbeiterbewertungen: Das Unternehmen nutzt Daten und Indikatoren, die aus den Aktivitäten und Leistungen der Mitarbeiter durch die Scanner erfasst werden, für die Erstellung von Arbeitsplänen in seinen Lagern, wöchentliche Mitarbeiterbewertungen und Schulungen.
• Nichteinhaltung der Informations- und Transparenzpflicht (Art. 12 DSGVO und Art. 13 DSGVO): Zeitarbeitskräfte wurden bis April 2020 nicht ausreichend über die Erhebung personenbezogener Daten durch Scanner informiert. Informationen zur Videoüberwachung wurden den Mitarbeitern und externen Besuchern nicht ordnungsgemäß mitgeteilt.
• Nichtgewährleistung der Sicherheit personenbezogener Daten (Artikel 32 DSGVO): Das Passwort für den Zugriff auf die Videoüberwachungsdaten war zu schwach und das Konto wurde von mehreren Nutzern gemeinsam verwendet, sodass der Zugriff auf die Videobilder nur schwer nachvollziehbar war.

Zusätzliche Informationen:

• Im Jahr 2023 teilte der europäische Politikchef von Amazon dem Ausschuss für Wirtschaft, Energie und Industriestrategie mit, dass drei Produktivitätswarnungen zur Kündigung von Mitarbeitern führen könnten. Amazon stellte jedoch später klar, dass die Algorithmen des Systems zwar Leistungsprobleme erkennen, aber keine eigenständigen Kündigungsentscheidungen treffen, sondern lediglich dabei helfen, leistungsbezogene Probleme zu erkennen.
• Rund 20.000 Menschen arbeiten in den französischen Lagern des Online-Handelsriesen Amazon France Logistique.
• Großbritannien ändert die Datenschutzgesetze mit den „Data Protection (Fundamental Rights and Freedoms) (Amendment) Regulations 2023”, die Elemente von EU-Vorschriften wie der DSGVO ins britische Recht übernehmen.