Bußgeld wegen Datenschutzverstößen bei H&M

Wie der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit am 1.10.2020 auf seiner Internetseite mitgeteilt hat, wurde gegen das Servicesenter von H&M (H&M Hennes & Mauritz Online Shop A.B. & Co. KG) ein Bußgeld in Höhe von 35,5 Millionen Euro verhängt.

Hintergrund war der folgende Sachverhalt. Die Gesellschaft mit Sitz in Hamburg betreibt ein Servicecenter in Nürnberg. Mindestens seit dem Jahr 2014 kam es bei einem Teil der Beschäftigten zu umfangreichen Erfassungen privater Lebensumstände, welche auch auf Netzlaufwerken dauerhaft gespeichert waren.

Das betraf beispielsweise Inhalte von Rückkehrgespächen von Urlaubs- und Krankheitsabwesenheiten sowie Inhalte aus Einzel- oder Flurgespäche über das Privatleben der Mitarbeiter.

Die digitalen Aufzeichnungen waren für eine breite Anzahl an Führungskräften im Unternehmen lesbar. Die Aufzeichungen für genutzt für

• akribischen Auswertung der individuellen Arbeitsleistung.
• Erstellung von Profilen der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis

Die Datenerhebung wurde bekannt, da aufgrund eines Konfigurationsfehlers im Oktober 2019 die Informationen für einige Stunden "unternehmensweit" (damit ist wahrscheinlich für alle gemeint) zugreifbar waren.

Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte zu einem besonders intensiven Eingriff in die Rechte der Betroffenen.

Nach Bekantwerden des Vorgangs hat das Unternehmen einiges an Abhilfemaßnahmen unternommen. Die Landesdatenschützer führen aus: "Die Aufdeckung der erheblichen Verstöße hat die Verantwortlichen zur Ergreifung verschiedener Abhilfemaßnahmen veranlasst. Dem HmbBfDI wurde ein umfassendes Konzept vorgelegt, wie von nun an am Standort Nürnberg Datenschutz umgesetzt werden soll. Zur Aufarbeitung der vergangenen Geschehnisse hat sich die Unternehmensleitung nicht nur ausdrücklich bei den Betroffenen entschuldigt. Sie folgt auch der Anregung, den Beschäftigten einen unbürokratischen Schadenersatz in beachtlicher Höhe auszuzahlen. Es handelt sich insoweit um ein bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß. Weitere Bausteine des neu eingeführten Datenschutzkonzepts sind unter anderem ein neu berufener Datenschutzkoordinator, monatliche Datenschutz-Statusupdates, ein verstärkt kommunizierter Whistleblower-Schutz sowie ein konsistentes Auskunfts-Konzept."

Gleichwohl lag, wie der Hamburgische Beauftragten für Datenschutz und Informationsfreiheit schreibt, in diesem Fall eine schwere Missachtung des Beschäftigtendatenschutzes am H&M-Standort Nürnberg vor und das verhängte Bußgeld war dementsprechend in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten zukünftig abzuschrecken, wobei das Bemühen der Konzernleitung um Wiedergutmachung berücksichtigt wurde.

Nach einer Pressemitteilung von H&M ist die Entscheidung aber wohl noch nicht rechtskräftig, es heißt "The company will now review this decision carefully."

n