Datenskandal bei H&M: Geheimer Datenordner entdeckt

Vergangene Woche erregte der Modekonzern „H&M“ Aufsehen, aber leider nicht positiv als Trendsetter. Die FAZ berichtete umfassend, wie Führungskräfte sich Notizen zum Privatleben ihrer Beschäftigten notiert haben. Diese Form der heimlichen Mitarbeiterspionage ist mehr als nur out. Mit dem Beitrag kläre ich kurz auf, was der Datenschutz insgesamt davon hält.

Wie das tapfere Schneiderlein seine Beschäftigten bespitzelte

Am Standort Nürnberg arbeiten mehrere hundert Angestellte, um das Online- und Telefonbestellgeschäft zu betreuen. Die Führungskräfte notierten sich aus den Gesprächen mit ihren Beschäftigten private Informationen über diese. Wie läuft die Beziehung des Beschäftigten? Ist der Beschäftigte fit? Oder gibt es sonst irgendwelche Beeinträchtigungen, die die Arbeitsleistung beeinflussen könnten?

Die Beschäftigten selber wussten nichts davon. Die Gesprächsnotizen wurden in einem Dateiordner aufbewahrt und waren wiederum für einen kleinen Personenkreis verfügbar. Es ist nicht bekannt, wie lange diese Praxis bereits gelebt wurde. Mitte Oktober haben Angestellte des Kundencenters diesen Ordner gefunden. Die Management-Ebene von H&M hat auf diesen Fund umgehend mit einer Entschuldigung an die Beschäftigten reagiert und räumte Folgendes ein:

„Die Gesprächsnotizen können in Einzelfällen aber auch sensible Arten personenbezogener Daten enthalten, zum Beispiel Informationen zum Gesundheitszustand oder zu persönlichen Umständen, die eine Schichtanpassung notwendig gemacht haben.“

Worin liegen mögliche Verstöße gegen die DSGVO und BDSG?

Das Verhalten der Führungskräfte ist nicht nur in arbeitsrechtlicher, sondern auch datenschutzrechtlicher Hinsicht bedenklich.

Die Informationen über das Privatleben und den Gesundheitszustand der Beschäftigten stellen personenbezogene Daten dar. Bei Letzterem handelt es sich sogar um sensible Daten, die einen größeren Schutz bedürfen. Der Schutzbereich der DSGVO ist hier also eröffnet, da diese Informationen in einem digitalen Ordner abgelegt wurden und insoweit auch eine automatisierte Datenverarbeitung stattfand.

Rechtsgrundlage zweifelhaft

Jede Datenverarbeitung i. S.d. DSGVO bedarf einer Rechtsgrundlage. Im Beschäftigtenverhältnis greift vorrangig § 26 Abs. 1 BDSG, soweit die Informationen

„für dessen Durchführung oder Beendigung oder zur Ausübung oder Erfüllung der sich aus einem Gesetz oder einem Tarifvertrag, einer Betriebs- oder Dienstvereinbarung (Kollektivvereinbarung) ergebenden Rechte und Pflichten der Interessenvertretung der Beschäftigten erforderlich“

sind. Zwar behauptet das Management von H&M, dass die Informationen nur zur besseren Planung der Arbeitsschichten gespeichert und genutzt worden. Gegen die Erforderlichkeit spricht allerdings, dass die Ordner nunmehr umgehend gelöscht werden und daher anscheinend entbehrlich sind. Die Schichtplanung funktioniert also auch ohne diese notierten Informationen.

Daneben kämen dann noch je nach Datenart Art. 6 Abs. 1 oder Art. 9 Abs. 2 DSGVO in Betracht. Eine Einwilligung als Rechtfertigungsgrundlage greift allerdings nicht, da diese gemäß § 26 Abs. 2 BDSG schriftlich erfolgen müsste. Selbst wenn man den Beschäftigten vorhalten würde, dass sie die Informationen über sich freiwillig preisgegeben haben, würde die Einwilligung bereits am Formerfordernis scheitern. Zudem wurden den Beschäftigten weder offenbart, dass diese Gesprächsnotizen festgehalten worden, noch warum dies erfolgte. Aber nur, wenn ich sämtliche Umstände der Datenverarbeitung kenne, kann ich auch wirksam einwilligen.

Es ist derzeit nicht erkennbar, dass die weiteren engen Voraussetzungen des Art. 9 Abs. 2 DSGVO zugunsten H&M eingreifen. Somit dürfte die Verarbeitung der Gesundheitsdaten jedenfalls unzulässig sein. Ob die übrigen, weniger sensiblen Daten nach Art. 6 Abs. 1 S. 1 f DSGVO wegen berechtigter Interessen von H&M verarbeitet werden durfte, kann zum derzeit bekannten Sachstand nicht abschließend beurteilt werden. Dies wird wohl Aufgabe der Aufsichtsbehörde sein.

Fehlende Transparenz

Aus Art. 12 Abs. 1 DSGVO ergibt sich das Transparenzgebot. Danach müssen Betroffene in präziser, transparenter, verständlicher und leicht zugänglicher Form über die Datenverarbeitung informiert werden. In Art. 13 und 14 DSGVO hat der Gesetzgeber einen konkreten Katalog über die Pflichtangaben aufgestellt. Danach ist der Betroffene sowohl über den Zweck und die Mittel der Datenverarbeitung, als auch über seine Rechte gegen den Verantwortlichen aufzuklären.

Diese Informationen dürfen auch nicht erst auf dem letzter Drücker mitgeteilt werden. Vielmehr soll der Betroffene so früh wie möglich aufgeklärt werden. Da die betroffenen Beschäftigten keinerlei Kenntnis hiervon hatten, wurde das Transparenzgebot vollständig außer Acht gelassen. Hierzu kann ich nur sagen: Das Kleid tut nichts für H&M!

Unzureichende Sicherung der Zugriffskontrolle

Die DSGVO sieht in Art. 32 vor, dass der Verantwortliche angemessene technische und organisatorische Maßnahmen ergreifen muss, um die Datensicherheit zu gewährleisten. Es gibt hier verschiedene Bereiche, um das Ziel zu erreichen. So muss unter anderem gewährleistet werden, dass nur Personen mit entsprechender Befugnis Zugriff auf die Daten haben. In einem Unternehmen bedarf es daher eines Berechtigungskonzepts. Dieses Ziel ist also auch eine Ausprägung des sog. need-to-know-Prinzips.

Hier wussten zwar grundsätzlich nur ein kleiner Personenkreis von dem besagten Datenordner. Aber es ist noch nicht klar, ob alle Führungskräfte den gleichen Zugriff auf den gesamten Ordner hatten. Dies würde einen Verstoß gegen das zuvor erwähnte Prinzip darstellen, da die einzelne Führungskraft allenfalls Zugriff zu den ihr unterstehenden Beschäftigten benötigt. Informationen über Beschäftigte, die nicht zum Team gehören, wären also Tabu.

Wie hat H&M auf den Fund reagiert?

Wie bereits oben erwähnt, hat die Managementebene schnell reagiert und die Hamburger Datenschutzaufsichtsbehörde und den für Nürnberg zuständigen Datenschutzbeauftragten über den Vorfall informiert. Auch die betroffenen Mitarbeiter habe man über die „Art und den Umfang des Vorfalles“ nachträglich informiert. Den Beschäftigten wird Einsicht in ihre Akte gewährt. Die Ordner sollen nun zeitnah gelöscht werden.

Für die Zukunft seien Datenschutzschulungen für Führungskräfte, Datenaudits und/oder Seminare rund um die Rechte der Mitarbeiter geplant. Schade, dass dies in der Vergangenheit offenbar versäumt wurde. Das ist so, wie wenn man im Juli anfängt, für die Bikini-Figur zu trainieren. Wenn die Aufsichtsbehörde ein Bußgeld festsetzen sollte, wird sie dieses Verhalten der Managementebene jedenfalls entlastend berücksichtigen.

Update 15.02.2020: Die FAZ erfuhr von Mitarbeitern in der Nürnberger Zweigstelle, dass die „versprochene umfängliche Aufklärung der Vorkommnisse kaum stattfinde. So herrsche weiterhin ein „Klima der Angst“. Viele zögerten mit einem Auskunftsbegehren an die Zentrumsführung, […] weil dadurch berufliche Nachteile befürchtet würden.“

Wie kann man einen solchen Datenschutzskandal vermeiden?

Eins steht schon mal fest: Wenn ich etwas heimlich mache, dann geh ich selber schon davon aus, dass die Handlung nicht richtig ist. Und wenn ich mich dann noch in die Position des Betroffenen versetze und selber zu dem Schluss komme, dass ich die Datenverarbeitung in seiner Position auch nicht super fände, dann kann ich mich nicht mehr rausreden.

Die Datenverarbeitung kann aber unter bestimmten Voraussetzungen rechtmäßig erfolgen:

1. Der Datenschutzbeauftragten ist rechtzeitig einzubinden, wenn neue Prozesse im Zusammenhang der Datenverarbeitung etabliert werden. Hierbei ist an den Betriebsrat zu denken, soweit es um Beschäftigtendaten geht.
2. Das Vorliegen einer Rechtsgrundlage für die Datenverarbeitung ist zu prüfen. Hierbei sollte man sich auch kritisch die Fragen stellen, warum die Daten benötigt werden.
3. Wenn es keine Rechtsgrundlage gibt, dann dürfen diese Daten auch nicht verarbeiten werden.
4. Das Verarbeitungsverzeichnis ist anzufertigen.
5. Betroffenen sollten so früh wie möglich über die Datenverarbeitung informiert werden.
6. Regelmäßige Datenschutz-Schulungen des Personals (auch zu Spezialthemen) sind Pflicht.

Bei all diesen Schritten unterstützt der Datenschutzbeauftragte gerne.

Auch in der Modebranche muss Datenschutz beachtet werden

Egal in welcher Branche man tätig ist oder wie groß das Unternehmen ist: Beschäftigtendatenschutz ist überall zu beachten! Die Hamburger Aufsichtsbehörde wird nun den Fall prüfen und je nach Ausgang entsprechende Sanktionen erlassen.

Aber das Verhältnis zwischen Beschäftigten und Führungskräften wird sich nach diesem Vorfall nachteilig verändert haben. Ein gutes Arbeitsklima lebt davon, dass man sich neben der Arbeit auch über sein Privatleben unterhalten kann. Und auch wenn man mit seinem Vorgesetzten plaudert, sollte man nicht fürchten müssen, dass alles notiert, gespeichert und für andere Vorgesetzten preisgegeben wird.

Hier zeigt sich auch wieder, wie wichtig es ist, den Datenschutzbeauftragten in solche Prozesse einzubeziehen. Nur so kann eine umfassende Beratung erfolgen und ein solcher Datenskandal vermieden werden.

Update 24.01.2020

Zwischenzeitlich hat der Hamburgische Landesdatenschutzbeauftragte laut FAZ ein Bußgeldverfahren wegen des Vorfalls gegen H&M eingeleitet.

Update 01.10.2020

Heute hat der Bußgeldverfahren seinen Abschluss in einem 35,3 Millionen Euro Bußgeld wegen Datenschutzverstößen im Servicecenter von H&M gefunden. Dazu äußerte sich der HmbBfDI Johannes Caspar folgendermaßen in der Pressemitteilung:

„Der vorliegende Fall dokumentiert eine schwere Missachtung des Beschäftigtendatenschutzes am H&M-Standort Nürnberg. Das verhängte Bußgeld ist dementsprechend in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.“