Schwerwiegender Datenschutzverstoß: 35,3 Mio. Euro Bußgeld gegen H&M
Aufgrund massiver Datenschutzverstöße gegenüber den eigenen Mitarbeitern durch die H&M Hennes & Mauritz Online Shop A.B. & Co. KG, hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) ein Bußgeld von über EUR 35.000.000.00 erlassen. Das Unternehmen sammelte über Jahre Informationen zu den privaten Lebensumständen von über hundert Angestellten. In sogenannten „Welcome-Back-Talks“, sowie in Einzel- und Flurgesprächen wurden unter anderem Informationen zu Krankheitssymptomen und Diagnosen der Mitarbeiter erlangt und teilweise aufgezeichnet.
Ein Gastbeitrag unseres studentischen Mitarbeiters Benjamin Diez.
Mindestens seit 2014 wurden in dem nürnberger Servicecenter von H&M private Informationen über Angestellte in großem Umfang aufgezeichnet. Einzelne Vorgesetzte reicherten sich dabei Wissen über Mitarbeiter an, welches von Urlaubserlebnissen, Krankheitssymptomen und Diagnosen bis hin zu familiären Problemen und religiösen Gesinnungen reichte. Die Daten wurden dabei zum Teil digital gespeichert und sorgfältig ausgewertet. Bis zu 50 hausinterne Führungskräfte konnten die Daten dabei einsehen, und nutzten diese nicht nur zur Bewertung der Arbeitsleistung, sondern auch, „um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis“ zu erstellen. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit begründete in seiner Pressemitteilung vom 01.10.2020 das Vorliegen eines schwerwiegenden Datenschutzverstoßes unter anderem wie folgt:
„Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte zu einem besonders intensiven Eingriff in die Rechte der Betroffenen.“
Bekannt wurde das Vorgehen schließlich im Jahr 2019 durch einen Konfigurationsfehler, welcher die gesammelten Daten mehrere Stunden unternehmensweit zugänglich machte.
Auf die Anordnung des hamburgischen Datenschutzbeauftragten, den Inhalt des Netzlaufwerks herauszugeben, zeigte sich das Unternehmen kooperativ. Die Verantwortlichen zogen darüber hinaus Konsequenzen in Form verschiedener Abhilfemaßnahmen. Neben einem neuen Datenschutzkonzept am Standort Nürnberg und einer ausdrücklichen Entschuldigung ist geplant, „einen unbürokratischen Schadensersatz in beachtlicher Höhe auszuzahlen“.
Aufgrund einer schweren Verletzung des Beschäftigtendatenschutzes erachtet der hamburgische Datenschutzbeauftragte eine Strafe von EUR 35.258.707.95 als angemessen. Dennoch werden die Bemühungen der die H&M Hennes & Mauritz Online Shop A.B. & Co. KG zur Aufklärung und Aufarbeitung gelobt.
„Es handelt sich insoweit um ein bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß.“