Gemäß Pressemitteilung von 1. Oktober 2020 verhängte der Hamburgische Beauftragte für Datenschutz- und Informationssicherheit (HmbBfDI) ein Bußgeld in Höhe von rund 35,3 Millionen Euro gegen H&M Hennes & Mauritz Online Shop AG & Co.KG (H&M) wegen der systematischen Überwachung von Mitarbeitern in einem Service Center.

Was war passiert?

H&M betreibt in Nürnberg ein Servicecenter, in dem es nach Feststellungen der Aufsichtsbehörde mindestens seit 2014 zu einer umfangreichen Erfassung privater Lebensumstände von Mitarbeitern kam. Erhoben wurden

  • Informationen zu konkreten Urlaubserlebnissen
  • Krankheitssymptome, Diagnosen
  • Informationen über das Privatleben von Mitarbeitern, von harmlosen Details bis familiären Problemen und religiösen Bekenntnissen.

Die Informationen wurden zum Teil über konkrete Ansprachen durch Teamleiter oder aber über Einzel- und Flurgespräche zusammengetragen, teilweise aufgezeichnet und digital im hausinternen Netzwerk gespeichert. Auf die Informationen konnten bis zu 50 Führungskräfte zugreifen. Die Aufzeichnungen wiesen einen hohen Detaillierungsgrad auf und wurden chronologisch fortgeschrieben. Die Informationen wurden genutzt, um ein Profil der Mitarbeiter zu erstellen, auf welches bei Maßnahmen und Entscheidungen zugegriffen wurde.

Bekannt wurde die Datenerhebung und Profilerstellung infolge eines Systemfehlers, der in 2019 für einige Stunden einen unternehmensweiten Zugriff auf die Daten ermöglichte.

Wie ist die Aufsichtsbehörde vorgegangen und wie hat das Unternehmen reagiert?

Die Aufsichtsbehörde erlangte durch Presseberichte Kenntnis von der Datensammlung. Sie reagiert prompt und ordnete zunächst an, den Inhalt des betroffenen Netzlaufwerks vollständig „einzufrieren“ und verlangte dann die Herausgabe.

Das Unternehmen kam der Aufforderung der Behörde nach und händigte einen Datensatz von rund 60 Gigabyte zur Auswertung aus. Zusätzlich erfolgten zahlreiche Zeugenvernehmungen, welche die Vorgehensweise bestätigten.

Die Überwachung wurde – zutreffend – als besonders intensiver Eingriff in die Rechte der betroffenen Mitarbeiter bewertet. Die Behörde verhängte daher trotz der Einsichtigkeit und dem Bemühen des Unternehmens unverzüglich Abhilfemaßnahmen umzusetzen und das Vertrauen der Mitarbeiter durch Aufklärung und Gewährleistung einer finanziellen Kompensation wiederherzustellen, ein Bußgeld in Millionenhöhe.

Der Hamburgische Landesdatenschutzbeauftragte Prof. Dr. Johannes Caspar führt hierzu in der Pressemitteilung aus:

Der vorliegende Fall dokumentiert eine schwere Missachtung des Beschäftigtendatenschutzes am H&M-Standort Nürnberg. Das verhängte Bußgeld ist dementsprechend in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.“

Der Bußgeldbescheid ist zwischenzeitlich rechtskräftig geworden. H&M teilte mit, dass man auf Rechtsmittel verzichte, um den Vorfall zu beenden.

Fazit

Das Bußgeld ist bemerkenswert und sollte für alle Unternehmen, die Beschäftigtendatenschutz bisher (noch) auf die leichte Schulter nehmen, eine Warnung sein. Das entschiedene Vorgehen der Aufsichtsbehörde zeigt, dass Missstände hier nicht hingenommen werden und Unternehmen hier aktiv werden müssen. Eine frühzeitige Einbindung des Datenschutzbeauftragten hätte sicherlich dazu beigetragen, den Missstand früher zu erkennen und zu unterbinden. Auch scheint bei den tätig gewordenen Führungskräften keinerlei Störgefühl vorhanden gewesen zu sein, was Folge einer mangelnden Sensibilisierung sein dürfte.


Autor: Yvonne Quad

Nehmen Sie dieses Beispiel zum Anlass Ihre Prozesse zu hinterfragen und ggf. tätig zu werden. Gern unterstützen wir Sie bei der datenschutzkonformen Umstrukturierung und auch Sensibilisierung Ihrer Mitarbeiter.