Zum Inhalt springen

H&M: 35,3 Mio € Bußgeld für Datenverstöße

Datenverstöße merken sich. Der Hamburger Datenschutzbeauftragte Prof. Dr. Johannes Caspar hat gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG einen Bescheid mit einem Bußgeld in Höhe von 35,3 Millionen € erlassen, weil es im Servicecenter des Unternehmens zu erheblichen Datenschutzverstößen kam.

Grund für Bußgeld: Ausforschung von mehreren hundert Mitarbeitern

Dem empfindlichen Bußgeld liegt eine Unternehmenspraxis zugrunde, die dort „Welcome Back Talks“ genannt wurde. Vorgesetzte führten derartige Gespräche durch, wenn Mitarbeiter nach Krankheits- oder Urlaubstagen in das Unternehmen zurückkehrten. Dies geschah selbst dann, wenn die Abwesenheit nur kurzzeitig war. Dabei wurden in etlichen Fällen private Daten festgehalten, zum Beispiel Urlaubserlebnisse, Krankheitssymptome und Diagnosen. Auch Kenntnisse aus vermeintlich privaten Gesprächen mit den Mitarbeitern wurden festgehalten und gespeichert. Dies reichte von scheinbar harmlosen Details über familiäre Probleme bis hin zu religiösen Bekenntnissen. Die entsprechende umfangreiche Datensammlung konnte von bis zu 50 Führungskräften des Unternehmens ständig eingesehen werden. Die Aufzeichnungen waren sehr detailliert, während diese ständig fortgeschrieben wurden. In der Datei sind sie mit der Erfassung der individuellen Arbeitsleistung kombiniert. Ziel war es, ein Profil für die Beschäftigten zu erhalten und daraus schließlich Maßnahmen für die Gestaltung der Arbeitsverhältnisse abzuleiten.

Schwere Missachtung des Beschäftigtendatenschutzes

In der Kombination der Ausforschung des Privatlebens mit der individuellen Tätigkeit der Beschäftigten sah der Datenschutzbeauftragte einen besonders intensiven Eingriff in die Rechte der Betroffenen. Der vorliegende Fall dokumentiere eine schwere Missachtung des Beschäftigtendatenschutzes, erklärte er dazu. Nachdem die Datei durch einen Konfigurationsfehler im Oktober 2019 eine Zeitlang unternehmensweit einsehbar war, kam es zu entsprechenden Presseberichten. Daraufhin ordnete der Datenschutzbeauftragte zunächst das Einfrieren der betreffenden Datensätze an und verlangte folglich alsbald deren Herausgabe. Die übermittelte Datei beinhaltete 60 GB. Zahlreiche vernommene Zeugen bestätigten die Praxis, so dass der Datenschutzbeauftragte schließlich das empfindliche Bußgeld verhängte.

Schadensersatz und neues Datenschutzkonzept zur Vermeidung von Bußgeld

Allerdings hob Hamburgs oberster Datenschützer hervor, dass sich die Leitung des Unternehmens in beispielloser Weise um Abhilfe bemüht habe. Neben einer ausdrücklichen Entschuldigung zahlte das Unternehmen auf Anregung der Datenschutzbehörde den betreffenden Mitarbeitern unbürokratisch Schadensersatz in beträchtlicher Höhe. Auch wurde ein umfassendes Konzept vorgelegt, mit dem geregelt wird, wie mit sensiblen Mitarbeiterdaten umzugehen ist.

Gegen den Bußgeldbescheid stehen dem Unternehmen abschließend Rechtsmittel zu. Es ist allerdings nicht davon auszugehen, dass diese auch erfolgen.

Dipl. Jurist, Rechtsanwalt Björn Wrase

Dipl. Jurist, Rechtsanwalt Björn Wrase

Hochspezialisiert im gewerblichen Rechtsschutz. Anwalt für Urheberrecht, AI/KI- & IT-Recht, Medienrecht, Wettbewerbs- und Markenrecht sowie Datenschutz.Autorenbeiträge anzeigen