skip to Main Content

35,3 Millionen Euro Bußgeld für H&M wegen Datenschutzverstößen

H&M wurde durch den Hamburgischen Datenschutzbeauftragten wegen der Überwachung von Mitarbeitern in einem Servicecenter in Nürnberg ein Rekordbußgeld von 35,3 Millionen Euro auferlegt.

 

Seit mindestens sechs Jahren wurden von einem Teil der Beschäftigten des Servicecenters umfangreich deren private Lebensumstände erfasst und auf einem Netzlaufwerk dauerhaft gespeichert. Bekannt wurde dies im Oktober 2019, weil die Notizen durch einen Konfigurationsfehler für einige Stunden unternehmensweit einsehbar waren.

 

Nach Angaben des hamburgischen Datenschutzbeauftragten führten die Vorgesetzten nach Urlaubs- und Krankheitsabwesenheiten der Mitarbeiter sog. Welcome Back Talks durch. Dadurch erlangtes Wissen wurde in etlichen Fällen festgehalten, z.B. konkrete Urlaubserlebnisse der Mitarbeiter oder Krankheitssymptome und Diagnosen. Die Vorgesetzten eigneten sich zusätzlich durch Einzel- oder Flurgespräche ein umfangreiches Wissen über das Privatleben der Mitarbeiter an, das von harmlosen Details bis zu familiären Problemen oder religiösen Bekenntnissen reichte. Diese Informationen wurden teilweise aufgezeichnet, digital gespeichert und konnten von bis zu 50 Führungskräften am Standort eingesehen werden. Die Aufzeichnungen waren zum Teil sehr detailliert und wurden laufend fortgeschrieben. Die so erhobenen Daten wurden neben einer akribischen Auswertung der individuellen Arbeitsleistung u.a. genutzt, um ein Profil der Mitarbeiter für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten.

 

Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte nach Angaben des Hamburgischen Datenschutzbeauftragten zu einem besonders intensiven Eingriff in die Rechte der betroffenen Personen und stellt eine schwere Missachtung des Beschäftigtendatenschutzes dar. Vor diesem Hintergrund sei das Bußgeld in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.

 

Positiv bewertet wurde das Bekenntnis der Unternehmensleitung zur Unternehmensverantwortung nach einem Datenschutzverstoß. Es wurde ein umfassendes Datenschutzkonzept vorgelegt, die Unternehmensleitung hat sich ausdrücklich bei den Betroffenen entschuldigt und bemüht sich um Wiedergutmachung. In diesem Zuge soll den Betroffenen ein unbürokratischer Schadensersatz in beachtlicher Höhe ausgezahlt werden.

 

Dieses Bußgeld von 35,3 Millionen Euro übersteigt alle seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) in Deutschland verhängten Bußgelder deutlich und ist trotz der transparenten Aufklärung und Kooperation des Unternehmens hoch ausgefallen. Die Aufsichtsbehörden verschärfen also scheinbar ihr Vorgehen bei Datenschutzverstößen. Die Einhaltung der Vorschriften der DSGVO ist daher zur Vermeidung von (hohen) Bußgeldern unerlässlich.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Back To Top