Datenschutz-Nachrichten

35,3 Millionen Euro – Rekord-Bußgeld wegen Datenschutzverstößen

35,3 Millionen Euro – Rekord-Bußgeld wegen Datenschutzverstößen

Von Timo Schutt 14. Oktober 2020

H&M kassiert Rekord-Bußgeld

35.258.707,95 Euro. Das ist die Summe, die im Bußgeldbescheid steht, den das Modeunternehmen H&M zugestellt bekam. Es handelt sich damit um ein neues Rekord-Bußgeld.

Darüber hat jetzt der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) informiert. Damit haben die DSGVO-Bußgelder in Deutschland einen neuen Rekord erreicht. Noch nie wurde ein so hohes Bußgeld wegen eines Datenschutzverstoßes ausgesprochen.

Überwachung von mehreren hundert Mitarbeitern

Konkret wird H&M die Überwachung von mehreren hundert Mitarbeiterinnen und Mitarbeitern des H&M Servicecenters in Nürnberg durch die Center-Leitung vorgeworfen.

H&M mit Sitz in Hamburg betreibt ein Servicecenter in Nürnberg. Seit dem Jahr 2014 kam es nach der Pressemitteilung des HmbBfDI zu umfangreichen Erfassungen privater Lebensumstände der Beschäftigten.  Nach Urlaubs- und Krankheitsabwesenheiten führten die Vorgesetzten einen sogenannten Welcome Back Talk durch. Nach diesen Gesprächen wurden in etlichen Fällen nicht nur konkrete Urlaubserlebnisse der Beschäftigten festgehalten, sondern auch Krankheitssymptome und Diagnosen.

Zusätzlich eigneten sich einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden an, das von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen reichte. Die Erkenntnisse wurden teilweise aufgezeichnet, digital gespeichert und waren mitunter für bis zu 50 weitere Führungskräfte im ganzen Haus lesbar. Die Aufzeichnungen wurden bisweilen mit einem hohen Detailgrad vorgenommen und im zeitlichen Verlauf fortgeschrieben. Die so erhobenen Daten wurden neben einer akribischen Auswertung der individuellen Arbeitsleistung u.a. genutzt, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten.

Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte zu einem besonders intensiven Eingriff in die Rechte der Betroffenen und damit zu dem Rekord-Bußgeld.

Schadensersatzzahlungen und Anpassungen kommen dazu

Die Aufdeckung der Verstöße hat die Verantwortlichen zur Ergreifung verschiedener Abhilfemaßnahmen veranlasst. Dem HmbBfDI wurde ein umfassendes Konzept vorgelegt, wie von nun an am Standort Nürnberg Datenschutz umgesetzt werden soll.

Die Unternehmensleitung hat sich nach Bekanntwerden der Vorkommnisse ausdrücklich bei den Betroffenen entschuldigt. Außerdem wurde den betroffenen Beschäftigten Schadenersatz “in beachtlicher Höhe” bezahlt, wie es in der Pressemeldung heißt.

Weitere Maßnahmen sind unter anderem ein neu berufener Datenschutzkoordinator, monatliche Datenschutz-Statusupdates, ein verstärkt kommunizierter Whistleblower-Schutz sowie ein konsistentes Auskunfts-Konzept.

Pressemeldung online abrufbar

Die Pressemeldung des Hamburgischen Landesdatenschutzbeauftragten mit weiteren Infos können Sie hier abrufen:

https://datenschutz-hamburg.de/pressemitteilungen/2020/10/2020-10-01-h-m-verfahren 

Fazit

Der Vorgang zeigt, dass gerade die Überwachung von Betroffenen und die Erstellung von Profilen mit zum Teil intimen Informationen einen erheblichen Eingriff in die Grundsätze der DSGVO darstellt und damit per se schon zu einem hohen Bußgeld führen wird. Das aktuelle Bußgeldkonzept der Datenschutzbehörden tut bei einem Unternehmen mit entsprechender Grüße und Umsatz sein übriges.

Für alle Unternehmen sollte der Vorgang Anlass sein die eigenen Prozesse und den Umgang mit Mitarbeiterdaten unter die Lupe zu nehmen und Strukturen zu schaffen, die einen transparenten und sicheren Umgang mit Beschäftigtendaten ermöglichen. 

Und einmal mehr zeigt das Ganze wie wichtig ein sauberes und umfassendes Datenschutzkonzept nebst Stichproben und Kontrollen ist.

Sie brauchen hier Unterstützung und Beratung? Dann melden Sie sich bei mir. Ich bin seit vielen Jahren als Datenschutzanwalt und seit 2020 auch als externer Datenschutzbeauftragter unterwegs.

Timo Schutt
Ihr Datenschutzpartner
Fachanwalt für IT-Recht