Rekord: 35,3 Millionen Euro Bußgeld wegen Datenschutzverstößen gegen H&M
(WFZ) Frankenhardt 1. Oktober 2020
Weil die Firma H & M (Hennes & Mauritz Online Shop A.B. & Co. KG) in ihrem Service-Center in Nürnberg gegen den Datenschutz verstoßen hat, verhängte der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) nun ein Bußgeld in Höhe von 35.258.707,95 Euro gegen das Unternehmen.
Wie die Datenschutzbehörde in ihrer Pressmitteilung erklärt, wurden Beschäftigte im Nürnberger H & M Servicecenter in unzulässiger Weise überwacht: Nach Urlaubs- und Krankheitsabwesenheiten (auch wenn diese zeitlich nur kurz waren) führte der vorgesetzte „Teamleader“ einen sogenannten „Welcome Back Talk“ durch. Nach diesen Gesprächen wurden dann in zahlreichen Fällen nicht nur konkrete Urlaubserlebnisse der Beschäftigten festgehalten, sondern auch Krankheitssymptome und Diagnosen.
Prof. Caspar Foto: HmbBfDI
Nach den Ermittlungen der Datenschutz-Behörde eigneten sich einige Vorgesetzte zusätzlich über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Beschäftigten an. Dies reichte von eher harmlosen Details bis zu familiären Problemen und religiösen Bekenntnissen. Diese Informationen wurden teilweise aufgezeichnet, digital gespeichert und waren mitunter für bis zu fünfzig weitere Führungskräfte im ganzen Servicecenter lesbar. Entsprechende Notizen wurden auf einem Netzlaufwerk dauerhaft gespeichert.
Datenschutz-Behörden verfügen über umfassende Untersuchungs- und Abhilfe-Befugnisse
Die erhobenen Daten wurden neben einer Auswertung der individuellen Arbeitsleistung u. a. auch dazu genutzt, Profile der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten. Da die Datenschutz-Behörden durch die DS-GVO über umfassende Untersuchungs- und Abhilfe-Befugnisse verfügen, konnte der zuständige Hamburgische Datenschutzbeauftragte Prof. Caspar (H & M hat dort den deutschen Hauptsitz) das Unternehmen dazu zwingen, die gesamte Datensammlung an die Behörde herauszugeben. Zusätzlich führte die Behörde zahlreiche Vernehmungen von Zeugen durch, welche die dokumentierten Praktiken bestätigten
Eine schwere Missachtung des Beschäftigtendatenschutzes
Zitat Prof. Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Der vorliegende Fall dokumentiert eine schwere Missachtung des Beschäftigtendatenschutzes am H&M-Standort Nürnberg. Das verhängte Bußgeld ist dementsprechend in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.“
H & M leistet Schadenersatzzahlung an betroffene Beschäftige
Wie die Datenschutzbehörde in ihrer Pressemitteilung weiter ausführt, folgte das Management von H & M der von der Behörde gegebenen Anregung, den Beschäftigten einen unbürokratischen Schadenersatz in beachtlicher Höhe auszuzahlen.
Die Befolgung dieser Anregung sowie die nach Mitteilung der Behörde zwischenzeitliche erfolgte Einleitung umfassender Maßnahmen zur Verbesserung des Datenschutzes bei H & M führte auf Seiten der Datenschutzbehörde wohl dazu, den ihr zur Verfügung stehenden Rahmen zur Bemessung der Höhe des Bußgeldes nicht auszuschöpfen. Zitat Prof. Caspar „Ausdrücklich positiv ist das Bemühen der Konzernleitung zu bewerten, die Betroffenen vor Ort zu entschädigen und das Vertrauen in das Unternehmen als Arbeitgeber wiederherzustellen. Die transparente Aufklärung seitens der Verantwortlichen und die Gewährleistung einer finanziellen Kompensation zeigen durchaus den Willen, den Betroffenen den Respekt und die Wertschätzung zukommen zu lassen, die sie als abhängig Beschäftigte in ihrem täglichen Einsatz für ihr Unternehmen verdienen.“
Neu eingeführtes Datenschutzkonzept
Wie der Fallbeschreibung der Behörde weiter zu entnehmen ist, wurden bei H & M im Rahmen eines neu eingeführten Datenschutzkonzeptes umfassende Maßnahmen ergriffen (u. a. ein neu berufener Datenschutzkoordinator, monatliche Datenschutz-Statusupdates, ein verstärkt kommunizierter Whistleblower-Schutz sowie ein konsistentes Auskunfts-Konzept), um den Datenschutz zu verbessern.
Bekannt wurde die Datenerhebung laut Erklärung der Behörde dadurch, dass auf die Notizen infolge eines Konfigurationsfehlers des Servers im Oktober 2019 für einige Stunden unternehmensweit zugegriffen werden konnte. Nachdem die Datenschutz-Behörde über die Datensammlung durch Presseberichte informiert wurde, ordnete sie zunächst an, den Inhalt des Netzlaufwerks vollständig „einzufrieren“ und verlangte dann die Herausgabe.
Das gegen H & M verhängte Bußgeld ist das bislang höchste, das in Deutschland wegen Datenschutzverstößen verhängt wurde und das bisher zweithöchste verhängte Bußgeld in Europa.
Eine deutliche Warnung an alle Verantwortlichen
Allen Verantwortliche in den Unternehmen, welche dem Datenschutz bisher noch nicht die erforderliche Aufmerksamkeit widmen, sollten den Fall H & M als deutlichen Weckruf betrachten und dem Projekt „Rechtskonforme Umsetzung der DS-GVO und des BDSG“ nun schnellstens ihre volle Aufmerksamkeit schenken, denn die Höhe des Bußgeld macht deutlich, dass es bei den Datenschutz-Behörden keinen „Corona-Rabatt“ gibt!