35,3 Millionen Euro Bußgeld: Datenschutzverstöße im H&M-Servicecenter

H&M mit Sitz in Hamburg betreibt Servicecenter in Nürnberg

[datensicherheit.de, 01.10.2020] Im Fall der Überwachung von mehreren hundert Mitarbeitern des H&M-Servicecenters in Nürnberg durch die Center-Leitung hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) nach eigenen Angaben einen Bußgeldbescheid in Höhe von 35.258.707,95 Euro gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG erlassen. Diese Gesellschaft mit Sitz in Hamburg betreibt demnach ein Servicecenter in Nürnberg.

Seit 2014 umfangreichen Erfassungen privater Lebensumstände von H&M-Beschäftigten

Mindestens seit dem Jahr 2014 sei es bei einem Teil der Beschäftigten zu umfangreichen Erfassungen privater Lebensumstände gekommen. Entsprechende Notizen seien auf einem Netzlaufwerk dauerhaft gespeichert worden. „Nach Urlaubs- und Krankheitsabwesenheiten – auch kurzer Art – führten die vorgesetzten Team-Leader einen sogenannten Welcome Back Talk durch. Nach diesen Gesprächen wurden in etlichen Fällen nicht nur konkrete Urlaubserlebnisse der Beschäftigten festgehalten, sondern auch Krankheitssymptome und Diagnosen.“
Zusätzlich hätten sich einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden angeeignet, das von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen gereicht habe. Diese Erkenntnisse seien teilweise aufgezeichnet und, digital gespeichert worden und seien mitunter für bis zu 50 weitere Führungskräfte im ganzen Haus lesbar gewesen.

H&M-Datenerhebung bekannt geworden durch Konfigurationsfehler im Oktober 2019

Diese Aufzeichnungen seien bisweilen mit einem hohen Detailgrad vorgenommen und im zeitlichen Verlauf fortgeschriebenworden. Die so erhobenen Daten seien neben einer akribischen Auswertung der individuellen Arbeitsleistung u.a. genutzt worden, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten.
„Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte zu einem besonders intensiven Eingriff in die Rechte der Betroffenen.“ Bekannt geworden sei die Datenerhebung dadurch, dass die Notizen infolge eines Konfigurationsfehlers im Oktober 2019 für einige Stunden unternehmensweit zugreifbar gewesen seien.

H&M hat Datensatz von rund 60 Gigabyte zur Auswertung vorgelegt

Nachdem der HmbBfDI durch Presseberichte informiert worden sei, habe er zunächst angeordnet, den Inhalt des Netzlaufwerks vollständig „einzufrieren“ und dann die Herausgabe verlangt. Das Unternehmen sei dem nachgekommen und habe einen Datensatz von rund 60 Gigabyte zur Auswertung vorgelegt.
Vernehmungen zahlreicher Zeugen habe nach Analyse der Daten die dokumentierten Praktiken bestätigt. Die Aufdeckung der erheblichen Verstöße habe die Verantwortlichen zur Ergreifung verschiedener Abhilfemaßnahmen veranlasst. Dem HmbBfDI sei ein umfassendes Konzept vorgelegt worden, „wie von nun an am Standort Nürnberg Datenschutz umgesetzt werden soll“.

Neu eingeführtes H&M-Datenschutzkonzept

Zur Aufarbeitung der vergangenen Geschehnisse habe sich die Unternehmensleitung nicht nur ausdrücklich bei den Betroffenen entschuldigt. Sie folge auch der Anregung, den Beschäftigten einen unbürokratischen Schadenersatz in beachtlicher Höhe auszuzahlen. Es handele sich insoweit um ein bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß.
Weitere Bausteine des neu eingeführten Datenschutzkonzepts seien unter anderem ein neu berufener Datenschutzkoordinator, monatliche Datenschutz-Statusupdates, ein verstärkt kommunizierter Whistleblower-Schutz sowie ein konsistentes Auskunfts-Konzept.

HmbBfDI: Fall schwere Missachtung des Beschäftigtendatenschutzes am H&M-Standort Nürnberg

Prof. Dr. Johannes Caspar, HmbBfDI kommentiert: „Der vorliegende Fall dokumentiert eine schwere Missachtung des Beschäftigtendatenschutzes am H&M-Standort Nürnberg. Das verhängte Bußgeld ist dementsprechend in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.“
Ausdrücklich positiv sei das Bemühen der Konzernleitung zu bewerten, die Betroffenen vor Ort zu entschädigen und das Vertrauen in das Unternehmen als Arbeitgeber wiederherzustellen. Die transparente Aufklärung seitens der Verantwortlichen und die Gewährleistung einer finanziellen Kompensation zeigten durchaus den Willen, den Betroffenen den Respekt und die Wertschätzung zukommen zu lassen, die sie als abhängig Beschäftigte in ihrem täglichen Einsatz für ihr Unternehmen verdienten.

Weitere Infromationen zum Thema:

datensicherheit.de, 16.10.2019
Datenschutzbehörden stellen neuen Bußgeldkatalog offiziell vor