Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), Johannes Caspar, hat ein Bußgeld in Höhe von knapp 35,3 Millionen Euro gegen H&M ausgesprochen. Der schwedische Mode-Händler habe „mehrere hundert Mitarbeiterinnen und Mitarbeiter“ in seinem Servicecenter in Nürnberg überwacht, begründet der HmbBfDI den Schritt.
„Umfangreiche Erfassungen privater Lebensumstände“
Demnach sei es mindestens seit dem Jahr 2014 bei einem Teil der Beschäftigten des H&M-Servicecenters „zu umfangreichen Erfassungen privater Lebensumstände“ gekommen. So haben Vorgesetzte nach Urlaubs- oder Krankheitsabwesenheiten von Mitarbeitern einen sogenannten „Welcome Back Talk“ durchgeführt. Darin seien nicht nur konkrete Urlaubserlebnisse, sondern auch Krankheitssymptome und Diagnosen festgehalten worden.
Zusätzlich hätten sich einige Vorgesetzte „über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden“ angeeignet. Dabei ging es offenbar von harmlosen Details bis hin zu familiären Problemen. Die gewonnen Erkenntnisse seien teilweise aufgezeichnet und digital gespeichert worden – und standen mitunter für bis zu 50 weitere Führungskräften im Haus lesbar zur Verfügung.
H&M soll umfangreiche Profile angelegt haben
Anhand der Daten sollen die Vorgesetzten dem Datenschutzbeauftragten zufolge dann Profile der Beschäftigten angefertigt haben, um Maßnahmen und Entscheidung im Arbeitsverhältnis zu treffen. Auch die Arbeitsleistung sei in diese Profile eingeflossen. Durch die Kombination der privaten und beruflichen Information sei ein „besonders intensiver Eingriff in die Rechte der Betroffenen“ erfolgt, schlussfolgert Caspar.
„Der vorliegende Fall dokumentiert eine schwere Missachtung des Beschäftigtendatenschutzes am H&M-Standort Nürnberg“, erklärt der Datenschutzbeauftragte. Das verhängte Bußgeld sei „angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.“
Ein Datenleck machte den Vorgang bekannt
Der Fall wurde bekannt, nachdem es im Oktober 2019 zu einem Konfigurationsfehler kam und die Notizen für einige Stunden unternehmensweit offenlagen. In einem ersten Schritt hatte der Hamburgische Datenschutzbeauftragte H&M dazu aufgefordert, den Inhalt des Netzlaufwerks vollständig „einzufrieren“, um das Ausmaß des Datenschutzverstoßes einschätzen zu können. H&M kam der Aufforderung nach und legte einen Datensatz von 60 Gigabyte Größe zur Auswertung vor.
H&M erklärt, dass die Praktiken am Nürnberger Servicecenter „mit den Richtlinien und Anweisungen von H&M nicht vereinbar waren“. Das Unternehmen übernehme die volle Verantwortung für den Vorfall, wolle aber den Beschluss der Datenschutzbehörde über das Bußgeld von 35 Millionen Euro „nun sorgfältig prüfen“.
H&M verspricht Betroffenen Schadenersatz
Der schwedische Modekonzern habe mittlerweile ein umfassendes Konzept vorgelegt, wie am Standort Nürnberg künftig der Datenschutz umgesetzt werden soll. H&M bestätigt, dass es auf der Führungsebene des Servicecenters personelle Veränderungen gegeben habe und zusätzliche Schulungen zu den Themen Datenschutz und Arbeitsrecht angesetzt werden. Zudem habe das Unternehmen einen Datenschutzkoordinator berufen, monatliche Datenschutz-Statusupdates angekündigt und einen Whistleblower-Schutz kommuniziert.
Zudem entschuldigte sich die Unternehmensleitung ausdrücklich bei den Betroffenen. Alle derzeit im Servicezentrum Beschäftigten und alle, die seit Inkrafttreten der DSGVO für mindestens einen Monat angestellt waren, sollen eine finanzielle Entschädigung erhalten. Johannes Caspar spricht von einem „unbürokratischen Schadenersatz in beachtlicher Höhe“. Es handele sich dem Datenschutzbeauftragten zufolge um „ein bislang beispielloses Bekenntnis zur Unternehmensverantwortung“ nach einem solchen Vorfall.
Kommentar schreiben