Wegen Datenschutzverstöße soll das schwedische Modeunternehmen H&M ein Bußgeld in zweistelliger Millionenhöhe zahlen. Was vorgefallen ist, wieso das Bußgeld so hoch ausfiel und was die Aufsichtsbehörde dazu sagt, lesen Sie hier.
Der Inhalt im Überblick
Was war passiert?
Wir haben bereits genauer dazu berichtet, doch hierzu noch einmal eine kurze Zusammenfassung.
Die Gesellschaft des H&M Servicecenters mit Sitz in Hamburg, hat in Nürnberg einen Standort mit mehreren hundert Angestellten. Dort wurden seit dem Jahr 2014 ein Teil der Beschäftigten umfangreich zu privaten Lebensumständen befragt. Auch haben sich einzelne Führungskräfte bei der Belegschaft über andere Kollegen informiert, sodass Gerüchte als auch tatsächliche Lebensumstände (z.B. religiöse Bekenntnisse) dokumentiert und auf einem Netzwerklaufwerk dauerhaft gespeichert wurden. Außerdem wurden Mitarbeiter nach einer Abwesenheit in Form von Krankheit oder Urlaub zu einem „Welcome Back Talk“ eingeladen, um weitere Informationen der Umstände zu erheben und der Datenbank einzupflegen. Bis zu 50 Führungskräfte hatten auf dieses Netzwerklaufwerk Zugriff, wobei der Detailgrad der Aufzeichnung durch die permanente Pflege anstieg.
Den Beschäftigten selber war dieser Umstand nicht bewusst. Nur durch einen Konfigurationsfehler im Oktober 2019, indem das Netzwerklaufwerk für alle unternehmensweit sichtbar war, wurde dies bekannt.
Unmittelbare Handlungsanweisung des HmbBfDI
Die Hamburger Aufsichtsbehörde agierte schnell und verordnete eine Handlungsanweisung. Demnach hat H&M das Netzwerklaufwerk, mit einer Größe von ca. 60 Gigabyte, „einzufrieren“ und herauszugeben. Nach langer Überprüfung bestätigte die Aufsichtsbehörde die Praktiken des Modeunternehmens.
Innerhalb des Jahres hat das Unternehmen verschiedene Abhilfemaßnahmen definiert und erarbeitet. Dies sieht i.d.R. die Zusammenarbeit mit den Aufsichtsbehörden vor, um den Schutz des Persönlichkeitsrechts der Betroffenen im angemessenen Umfang zu wahren und aufzubauen.
2.500 € Schadensersatz für alle Mitarbeiter
Auch öffentlich wurde, dass das Unternehmen aus eigener intrinsischer Motivation sich bei der Belegschaft entschuldigt hat und zudem einen „unbürokratischen Schadenersatz in beachtlicher Höhe“ auszahlen möchte. Dieser soll, nach eigenen Angaben, an alle derzeit im Servicezentrum Beschäftigten und alle Mitarbeiter, die seit der DSGVO für mindestens einen Monat angestellt waren, fließen. Damit schlägt man wohl zwei Fliegen mit einer Klappe. Denn einerseits dürfte dieses Nachverhalten von der Aufsichtsbehörde nach Art. 83 Abs. 2 lit. c DSGVO bußgeldmindernd berücksichtigt worden sein. Anderseits nimmt man etwaigen Schadensersatzklagen der Betroffenen so frühzeitig den Wind aus den Segeln. Nichtsdestotrotz hört sich die Reaktion von H&M auf den Datenskandal zunächst sehr positiv an.
Ein anderes Bild zeichnete sich aber bei der Verleihung des Big Brother Award 2020 ab, den H&M für diesen Vorfall erhalten hat. Hier berichtet Prof. Dr. Peter Wedde über die Stimmung der Betroffenen, mit denen er im Rahmen der Recherche für die Laudatio geredet hatte, u.a. folgendes:
„Selbstanzeige und Entschuldigung – Alles wieder gut? […] Nein. […] Ein Teil der Beschäftigten hat sogar inzwischen gekündigt, weil sich die persönlichen Arbeitsbedingungen nach dem Bekanntwerden der Spitzeleien weiter verschlechtert haben. Besonders geärgert haben sie sich darüber, dass es eine „Entschädigungszahlung“ von 2.500 € pro Person geben soll, die auch die Teamleitungen erhalten sollen, die die Ausforschung betrieben haben. Aber immerhin gibt es nach ihren Worten jetzt in Nürnberg einen Betriebsrat.“
Wieso nun 35,3 Millionen Euro?
Das Bußgeld dürfte insofern so hoch ausfallen, da es sich hierbei um einen durchaus langen Zeitraum der Verarbeitung mit einem hohen persönlichen Detailgrad handelt. Die erhobenen Daten wurden nicht nur ausgewertet, sondern ebenfalls genutzt, um ein Profil der Beschäftigten zu erstellen, um Maßnahmen und Entscheidungen im Arbeitsverhältnisse zu erhalten. Die Synergie aus der Ausforschung des Privatlebens und der fortschreitenden Aktualisierung der Informationen, führt zu einem besonders intensiven Eingriff in das Persönlichkeitsrecht des betroffenen Beschäftigten.
Der Hamburgische Landesdatenschutzbeauftragte Prof. Dr. Johannes Caspar zum Fall:
„Der vorliegende Fall dokumentiert eine schwere Missachtung des Beschäftigtendatenschutzes am H&M-Standort Nürnberg. Das verhängte Bußgeld ist dementsprechend in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.“
Das Bußgeld ist aber wohl noch nicht rechtskräftig. Denn H&M kommentierte den Bußgeldbescheid der Hamburger Datenschutzbehörde in seiner eigenen Pressemitteilung damit, dass man diesen erhalten habe und nun sorgfältig prüfen werde.
Update 15.10.2020: Der NDR berichtete, dass H&M auf eine Berufung verzichte, um den Vorfall zu beenden. Man sei aber immer noch der Ansicht, 35-Millionen Euro Bußgeld für die Deutschlandzentrale in Hamburg seien nicht proportional zu dem lokalen Datenschutzverstoß in Nürnberg. Das Bußgeld ist somit nun rechtskräftig.
Ein relevantes Bußgeld
Das Bußgeld steht für den Beschäftigtendatenschutz und wird in Zukunft sicher oftmals als Beispiel herangezogen werden. Ein frühzeitiges Einbinden des Datenschutzbeauftragten hätte hierbei sicherlich frühzeitig Missstände aufgedeckt. Zudem sollten Beschäftigte, insbesondere Führungskräfte, regelmäßig mittels einer Schulung sensibilisiert werden.
Positiv hervorgehoben wird die Kooperationsbereitschaft der Konzernleitung, welche die Zusammenarbeit mit den Behörden vereinfacht. Dies scheint vonseiten der Aufsichtsbehörde die Bußgeldhöhe zu lindern oder zumindest nicht zu erhöhen.
Die Pressemitteilung des HmbBfDI finden Sie hier. Zudem hat der Kollege Stefan Hessel bereits den erlassenen Bußgeldbescheid über FragDenStaat angefragt. Es könnten im kommenden Monat somit weitere Details zu dem Bußgeld bekannt werden.
Ich versteh das ganze jetzt nicht wirklich. Sowas gibt es doch in jeder größeren Firma ab einer gewissen Mitarbeiterzahl. Ob mit Excel-Listen oder andere Dokumente. Ebenso gibt es Software für die Personalverwaltung die genau sowas umsetzt und die Grundlagen dafür zur Verfügung stellt. Schaut Euch doch bloß mal die Software „perbit“ an. Genau das macht das Programm. Man muss es nur ausfüllen. Perbit ein HR-Tool das sogar EU-DSGVO konform sein soll. Auch nur so lange man es nicht vollumfänglich nutzt. Aber auch hier wie immer: Gelegenheit mach Diebe.
Die Frage ist doch eigentlich nicht, mit welchem tool man sensitive Daten von Mitarbeitern erfassen könnte. Sondern, ob ein Unternehmen das darf.
Darf es i.d.R. nicht, daher ein Bußgeld.
Ich bin erstaunt über die Aussage, dass dies „in jeder größeren Firma“ der Fall sein sollte- das kann ich so nicht nachvollziehen. Mir ist auch schleierhaft, welchen relevanten Zweck und welchen konkreten Vorteil ein Unternehmen aus solch einer Datenbank ziehen will. Das es allerdings immer wieder solche Einzelfälle gibt, ist traurig, aber Realität.
Neuer Link zur Anfrage des Bußgeldbescheides: https://fragdenstaat.de/anfrage/bugeldbescheid-wegen-datenschutzverstoen-im-servicecenter-von-hm-1/
§ 353d Nr. 3 StGB sollte der Anfrage nicht mehr entgegenstehen.