Datenschutz: Deutsche Rekordbuße von 35,3 Millionen Euro gegen H&M

Der Hamburgische Datenschutzbeauftragte hat wegen DSGVO-Verstößen ein Millionen-Bußgeld gegen H&M verhängt, weil die Firma Mitarbeiter ausspähte.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 157 Beiträge

(Bild: H&M/Robert Lindholm)

Von
  • Stefan Krempl

Der schwedische Bekleidungshändler Hennes & Mauritz (H&M) soll eine Strafe in Höhe von 35.258.707,95 Euro zahlen, nachdem er in einem Servicecenter in Nürnberg Mitarbeiter massiv ausgespäht hatte. Einen entsprechenden Bußgeldbescheid hat der Hamburgische Datenschutzbeauftragte Johannes Caspar jetzt an das Unternehmen geschickt, das seinen deutschen Sitz in der Hansestadt hat. Er wirft H&M vor, den Beschäftigtendatenschutz am Standort Nürnberg schwer missachtet zu haben.

Es handelt sich um das höchste Bußgeld, das Aufsichtsbehörden hierzulande verhängten, seit die die Datenschutz-Grundverordnung (DSGVO) seit zweieinhalb Jahren anwendbar ist. Bisher lag der Rekord bei den 14,5 Millionen Euro, mit denen die Berliner Datenschutzbeauftragten Maja Smoltczyk gegen die Immobiliengesellschaft Deutsche Wohnen vorging. Diese will den Bescheid aber nicht anerkennen.

Die Strafe gegen H&M sei angesichts der gemeldeten, jüngst auch mit einem Big Brother Award bedachten Vorfälle in ihrer "Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken", begründete Caspar den Schritt. Er lobte auch "die transparente Aufklärung seitens der Verantwortlichen und die Gewährleistung einer finanziellen Kompensation". Diese zeigten durchaus den Willen, "den Betroffenen den Respekt und die Wertschätzung zukommen zu lassen, die sie als abhängig Beschäftigte in ihrem täglichen Einsatz für ihr Unternehmen verdienen".

Im Nürnberger Call-Center sei es mindestens seit 2014 bei einem Teil der Mitarbeiter "zu umfangreichen Erfassungen privater Lebensumstände" gekommen, wirft Caspar der Firma vor. Entsprechende Notizen seien auf einem Netzlaufwerk dauerhaft gespeichert worden. Selbst nach kurzen Urlaubs- oder Krankheitsabwesenheiten hätten die vorgesetzten Teamleiter einen sogenannten "Welcome Back"-Talk durchgeführt. Danach seien in etlichen Fällen nicht nur konkrete Urlaubserlebnisse der Beschäftigten festgehalten, sondern auch Krankheitssymptome und Diagnosen.

Zusätzlich eigneten sich einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden an, heißt es bei der Behörde weiter, "das von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen reichte". Die Erkenntnisse seien teils digital gespeichert worden und mitunter für bis zu 50 weitere Führungskräfte im ganzen Haus lesbar gewesen.

"Die Aufzeichnungen wurden bisweilen mit einem hohen Detailgrad vorgenommen und im zeitlichen Verlauf fortgeschrieben", konstatiert Caspar. Die so erhobenen Daten seien nicht nur genutzt worden, um die individuelle Arbeitsleistung akribisch auszuwerten. Auch ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis sei erstellt worden. Diese "Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte zu einem besonders intensiven Eingriff in die Rechte der Betroffenen".

Die Sache flog auf, weil die Datei infolge eines Konfigurationsfehlers unzureichend gesichert war und im Oktober 2019 für einige Stunden unternehmensweit einsehbar war. Caspar ordnete nach entsprechenden Presseberichten zunächst an, den Inhalt des Netzlaufwerks vollständig "einzufrieren" und verlangte dann die Herausgabe. Das Unternehmen kam dem nach und legte einen Datensatz von rund 60 Gigabyte vor. Vernehmungen zahlreicher Zeugen bestätigten dem Aufseher zufolge nach Analyse der Daten die dokumentierten Praktiken.

H&M leitete parallel nach eigenen Angaben "weitreichende Maßnahmen" ein und trennte sich von Mitarbeitern "auf Führungsebene" in dem Service-Center. Die Firma habe ein "umfassendes Konzept vorgelegt, wie von nun an am Standort Nürnberg Datenschutz umgesetzt werden soll", bestätigte Caspar. Bausteine seien neben einem "unbürokratischen Schadenersatz in beachtlicher Höhe" ein neu berufener Datenschutzkoordinator, monatliche Statusupdates rund um die Privatsphäre der Beschäftigten, ein verstärkt kommunizierter Whistleblower-Schutz sowie ein "konsistentes Auskunftskonzept".

Das Unternehmen will den Bußgeldbeschluss nun "sorgfältig prüfen" und im Anschluss entscheiden, ob es ihn akzeptieren werde. Die H&M-Gruppe betonte zugleich, dass sie sich verpflichtet fühle, die DSGVO fortan einzuhalten. Man halte sich "streng an die Gesetze und Vorschriften der zuständigen Datenschutzbehörden sowie an die hohen eigenen, unternehmensinternen Richtlinien".

(axk)