H&M – Rekordbußgeld in Deutschland wegen Datenschutzverstoß

H&M – Rekordbußgeld in Deutschland wegen Datenschutzverstoß

21. Juni 2021

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) Prof. Dr. Johannes Caspar erließ gegen das schwedische Modeunternehmen Hennes & Mauritz (H&M), das seinen deutschen Sitz in der Hansestadt hat, einen Bußgeldbescheid in Höhe von rund 35,3 Millionen €, nachdem im vergangenen Jahr bekannt wurde, dass mehrere hundert Angestellte einer Niederlassung in Nürnberg durch die Centerleitung derart überwacht wurden, was mit den Datenschutz-Richtlinien und Anweisungen von H&M so nicht vereinbar war.

Der Vorfall offenbarte, dass bei einem Teil der Beschäftigten mindestens seit dem Jahr 2014 private Lebensumstände erfasst und auf einem Netzlaufwerk dauerhaft gespeichert wurden. So wurden beispielsweise nach Urlaubs- und Krankheitsabwesenheiten Gespräche (sog. Welcome Back Talks) geführt und konkrete Urlaubserlebnisse bzw. Krankheitssymptome und Diagnosen der Betroffenen erfragt und dokumentiert. Darüber hinaus eigneten sich einige Vorgesetzte über Einzelgespräche oder Smalltalk auf dem Flur ein breites Wissen über das Privatleben ihrer mitarbeitenden Kollegen an. Dabei ging es nicht nur um harmlose private Geschichten, sondern auch um sehr sensible Daten, wie zum Beispiel familiäre Probleme und religiöse Offenbarungen. Die Erkenntnisse wurden teilweise aufgezeichnet und im zeitlichen Verlauf fortgeschrieben, digital gespeichert und waren für andere Führungskräfte im ganzen Haus einsehbar. Die so abverlangten Daten wurden neben einer akribischen Auswertung der persönlichen Arbeitsleistung unter anderem dafür genutzt, um ein Profil zu Maßnahmen und Entscheidungen über den beruflichen Werdegang der Beschäftigten erstellen zu können. Diese Ausforschung von Daten und deren fortlaufende Erfassung stellen jedoch einen ausgesprochen intensiven Eingriff in die Rechte der Betroffenen dar.

Bekannt wurde die missbräuchliche Datenerhebung erst im Oktober 2019, als der Zugriff auf ein unternehmensinternes Netzwerklaufwerk fehlerhaft konfiguriert war und so alle im Unternehmen Tätigen für einige Stunden Einblick in die Datensammlung hatten.

Nachdem der Vorfall an die Öffentlichkeit gelangte, kam das Modeunternehmen der Anordnung des HmbBfDI Prof. Dr. Caspar nach und legte einen Datensatz von rund 60 Gigabyte zur Auswertung vor. Es hieß außerdem, dass H&M die volle Verantwortung übernehme und zeitnah verschiedene Abhilfemaßnahmen einleitete. So wurde dem HmbBfDI ein ausführliches Konzept vorgelegt, wie künftig am Standort Nürnberg Datenschutz umgesetzt werden soll. Darin sind unter anderem folgende Bestimmungen enthalten:

Die Einberufung eines neuen Datenschutzkoordinators

Monatlich stattfindende Datenschutz-Statusupdates

Ein erhöhter kommunizierter Whistleblower (Hinweisgeber)-Schutz

Zusätzliche Schulungen von Mitarbeitern und Führungskräften zu den Themen Datenschutz und Arbeitsrecht

Verbesserte Prozesse zur Bereinigung personenbezogener Daten

Verbesserte IT-Lösungen

Ein beständiges Auskunftskonzept.

Die Unternehmensleitung von H&M hat sich bei den Betroffenen vorbehaltlos entschuldigt und beschlossen, dass sämtliche derzeit in dem Servicezentrum Beschäftigten und alle, die seit Inkrafttreten der DSGVO im Mai 2018 für mindestens einen Monat angestellt waren, eine finanzielle Entschädigung erhalten. Nicht zuletzt hofft das Unternehmen dadurch, seinen Namen als fairen Arbeitgeber wiederherzustellen. Es handelt sich insoweit um ein bislang beispielloses Eingeständnis zur Unternehmensverantwortung nach einem Datenschutzverstoß.

Der Bußgeldbescheid ist ein neuer Rekord in Deutschland seit Einführung der Datenschutz-Grundverordnung vor über zwei Jahren. Der bisherige Rekord lag bei 14,5 Millionen €, mit denen die Berliner Datenschutzbeauftragte gegen die Immobiliengesellschaft Deutsche Wohnen vorging.

Die schwedische Konzernzentrale von Hennes & Mauritz kündigte an, den Bescheid eingehend zu prüfen.

 

Meine Quellen:

https://datenschutz-hamburg.de/pressemitteilungen/2020/10/2020-10-01-h-m-verfahren

https://about.hm.com/de_de/news/general-news-2020/h-m-hat-eine-entscheidung-der-hamburger-datenschutzbehoerde-erha.html

https://www.tagesschau.de/wirtschaft/hm-strafe-101.html

https://www.heise.de/news/DSGVO-Deutsche-Rekordbusse-von-35-3-Millionen-Euro-gegen-H-M-4917437.html

https://netzpolitik.org/2020/dsgvo-verstoss-hm-kassiert-35-millionen-euro-strafe/

 

Autorin: Aline Neißner