MELDUNG

Hamburger Aufsichtsbehörde verhängt gegen H & M 35,3 Millionen Euro Bußgeld wegen Datenschutzverstößen

Aufgrund der arbeitgeberseitigen Überwachung einiger hundert Mitarbeiterinnen und Mitarbeiter des H & M Servicecenters in Nürnberg hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit einen Bußgeldbescheid in Höhe von mehr als 35 Mio. Euro erlassen. Das gegen H & M ausgesprochene Bußgeld ist das bislang höchste aufgrund von Datenschutzverstößen in Deutschland verhängte Bußgeld und das zweithöchste in Europa (nach einer Rekordstrafe gegen Google in Höhe von 50 Millionen Euro).

Die Nürnberger Servicecenter- Leitung der in Hamburg ansässigen H & M Hennes & Mauritz Online Shop A.B. & Co. KG erfasste nach Auskunft des Hamburgischen Datenschutzbeauftragten seit 2014 bei einem Teil der Beschäftigten umfangreiche Informationen über deren private Lebensumstände. So wurden die Beschäftigten beispielsweise nach Urlaubs- und Krankheitsabwesenheiten zu einem Gespräch mit ihren Vorgesetzten gebeten. Im Anschluss an das Gespräch notierten die Vorgesetzten neben konkreten Urlaubserlebnissen der Mitarbeiter, Krankheitssymptome und Diagnosen und speicherten ihre Notizen dauerhaft auf einem Netzwerk. Darüber hinaus hielten einige Vorgesetzte Daten über das Privatleben ihrer Beschäftigten fest, wobei es sich nicht nur um harmlose Details, sondern auch um familiäre Probleme und religiöse Bekenntnisse handelte. Die detailreichen persönlichen Daten wurden sowohl durch Einzelgespräche mit den Mitarbeitenden, als auch durch Flurgespräche erlangt und waren zeitweise für bis zu 50 weitere Führungskräfte einsehbar. Die auf diesem Wege erlangten Erkenntnisse dienten den Vorgesetzten zur Auswertung der individuellen Arbeitsleistung und Erstellung eines Mitarbeiterprofils um Prognosen über die Entscheidungen des Mitarbeiters im Arbeitsverhältnis treffen zu können.

Bekannt wurden die erheblichen Datenschutzverstöße im Oktober 2019, nachdem die Notizen in Folge eines Konfigurationsfehlers für einige Stunden unternehmensweit abrufbar waren. Mit der Kombination aus der Ausforschung des Privatlebens und der laufenden Fortschreibung der Daten konstatiert der Hamburgische Datenschutzbeauftragte einen besonders intensiven Eingriff in das Recht auf informationelle Selbstbestimmung der Betroffenen.

Nach Enthüllung der unberechtigten Datenerhebungen ergriffen die Verantwortlichen verschiedene Abhilfemaßnahmen und bekannten sich zu ihrer Unternehmensverantwortung. Neben der Vorlage eines Konzeptes bei Datenschutzverstößen und einer ausdrücklichen Entschuldigung bei den Betroffenen, folgten sie der Anregung des Hamburgischen Datenschutzbeauftragten den Beschäftigten einen beachtlichen Schadensersatz zu zahlen. Darüber hinaus sieht das neu eingeführte Datenschutzkonzept am Standort Nürnberg die verstärkte Beachtung von Betroffenenrechten, eine bessere  Kommunikation des Whistle-Blower-Schutzes, die Einrufung eines neuen Datenschutzkoordinators sowie monatliche Status-Updates vor.

nbs partners berät zahlreiche große und mittelständische Unternehmen und Unternehmensgruppen im Datenschutzrecht und übernimmt die Position des ausgelagerten Datenschutzbeauftragen. Bei Fragen zum Thema Datenschutz wenden Sie sich vertrauensvoll an unsere Ansprechpartner.

Ihre Ansprechpartner: