35 Millionen Euro – Rekordstrafe für H&M

Mit genau 35.258.707, 95 € ist der Bescheid der bislang höchste Bußgeldbescheid, der in Deutschland wegen Verstößen gegen die DSGVO verhängt wurde. Zuvor war Rekordhalter dieses Negativrekords die Immobiliengesellschaft „Deutsche Wohnen“, die im vergangenen Jahr einen Bußgeldbescheid in Höhe von 14,5 Millionen von der Berliner Datenschutzbeauftragten erhalten hatte. Der Hamburgische Datenschutzbeauftragte hat diese Summe nun noch einmal mehr als verdoppelt. Zwar erwirtschaftete H&M im letzten Jahr einen Umsatz von circa 20 Milliarden US Dollar, allerdings dürfte das Bußgeld dennoch spürbar ins Gewicht fallen, da es nur den deutschen Ableger von H&M betrifft. Dem Hamburgischen Datenschutzbeauftragten nach ist das verhängte Bußgeld der Höhe nach angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.

Worum ging es konkret?

Verhängt wurde das Bußgeld, weil in einem Nürnberger Service-Center des Textilriesen mindestens seit 2014 höchstpersönliche Daten der Beschäftigten gesammelt und gespeichert wurden. So wurden beispielsweise nach Urlaubs- oder Krankheitsfehlzeiten die betroffenen Angestellten zu einem sogenannten „Welcome Back Talk“ mit ihrem Vorgesetzen eingeladen. Nach diesen Gesprächen wurden teilweise konkrete Urlaubserlebnisse oder auch Krankheitssymptome und Diagnosen der Angestellten festgehalten. Auch über Flurgespräche eigneten sich einige Führungskräfte Informationen über das Privatleben ihrer Angestellten, beispielsweise über familiäre Probleme oder religiöse Bekenntnisse, an. Die gesammelten Informationen wurden zum Teil aufgezeichnet, digital gespeichert und anderen Führungskräften zur Verfügung gestellt. Teilweise sollen bis zu 50 Personen, größtenteils weitere Führungskräfte Zugriff auf die Daten gehabt haben. Zweck der sehr detaillierten Datenerhebung war eine genaue Auswertung der individuellen Arbeitsleistung. Außerdem wurden so Profile der Mitarbeiter für Maßnahmen und Entscheidungen im Arbeitsverhältnis erstellt.

60 Gigabyte Material

Bekannt wurde der massive Eingriff in die Privatsphäre der Beschäftigten, als die gesammelten Daten aufgrund eines Konfigurationsfehlers im Oktober 2019 für einige Stunden unternehmensweit zugreifbar waren. Nachdem mehrere Zeitungen über den Vorfall berichteten, verlangte der Hamburgische Datenschutzbeauftragte schließlich die Herausgabe des 60 Gigabyte großen Datensatzes. Auch die Aussagen mehrerer Zeugen bestätigten die dokumentierten Praktiken. Laut dem Hamburgischen Datenschutzbeauftragten handele es sich um eine schwere Missachtung des Beschäftigtendatenschutzes.

„Ein beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß“

Aufgrund des Bekanntwerdens des Vorfalls haben die Verantwortlichen mehrere Maßnahmen ergriffen, um solche Verstöße in Zukunft zu vermeiden. Zunächst wurde dem Hamburgischen Datenschutzbeauftragten ein umfassendes Konzept vorgelegt, wie die DSGVO am Standort in Nürnberg umgesetzt werden soll. In diesem Konzept enthalten sind unter anderem die Ernennung eines neuen Datenschutzkoordinators, monatliche Datenschutz-Statusupdates, ein verstärkter Schutz für Whistleblower und ein konsistentes Auskunftskonzept. Laut dem Hamburgischen Datenschutzbeauftragten handele es sich um ein „bislang beispielsloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß. Darüber hinaus hat sich die Unternehmensleitung bei den Betroffenen entschuldigt und will diesen einen „unbürokratischen“ Schadensersatz in beachtlicher Höhe zahlen. Der Hamburgische Datenschutzbeauftragte Prof. Dr. Johannes Caspar lobt die Bemühungen von H&M, die Betroffenen zu entschädigen und das Vertrauen in das Unternehmen als Arbeitgeber wiederherzustellen. Allerdings behält sich H&M eine juristische Prüfung des Bußgeldbescheids noch vor.