Der Hamburgische Datenschutz- und Informationsfreiheitsbeauftragte (HmbBfDI) Johannes Caspar erließ am 01.10.2020 einen Bußgeldbescheid in Höhe von EUR 35, 3 Millionen gegen das Textilhandelsunternehmen H&M. Der Grund hierfür waren die seit 2014 herrschenden massiven Datenschutzverstöße in Form von Erfassung und Verwendung höchst privater Daten der Mitarbeiter.

Die Gesellschaft Hennes & Mauritz Online Shop A.B. & Co. KG (H&M) betreibt ein Servicecenter in Nürnberg, wobei der Sitz in Hamburg liegt. Mindestens seit dem Jahr 2014 wurden bei mehreren hundert Mitarbeiterinnen und Mitarbeitern des H&M Servicecenters Nürnberg durch die Center-Leitung umfangreiche private Lebensumstände, familiäre Probleme und auch religiöse Bekenntnisse erfasst, teilweise aufgezeichnet und digital gespeichert. Die Erfassung dieser Daten erfolgte durch Einzel- und Flurgespräche, welche dann für bis zu 50 weitere Führungskräfte im Haus lesbar waren.

Des Weiteren fanden sogenannte „Welcome Back Talks“ nach Urlaubs- und Krankheitsabwesenheiten statt. Hierbei wurden in zahlreichen Fällen neben konkreten Urlaubserlebnissen der Beschäftigten auch Krankheitssymptome und Diagnosen festgehalten. Jegliche Informationen, beispielsweise auch Notizen der Arbeitnehmer, wurden äußerst detailliert aufgezeichnet und auf einem Netzlaufwerk dauerhaft gespeichert. Zudem wurden diese im zeitlichen Verlauf fortgeschrieben. Die Führungskräfte speicherten derartige Daten mit dem Zweck einer äußerst gründlichen Auswertung der individuellen Arbeitsleistung. Auch sollte hierdurch ein Profil der Beschäftigten für Maßnahmen und Entscheidungen innerhalb des Arbeitsverhältnisses erfasst werden.

Der Auffassung der Behörde folgend stellt insbesondere die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung der Tätigkeiten einen erheblichen Eingriff in die Rechte der Betroffenen und einen massiven Datenschutzverstoß dar.

Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte zu einem besonders intensiven Eingriff in die Rechte der Betroffenen.

Hinsichtlich der Höhe des verhängten Bußgeldes betont Johannes Caspar, dass der vorliegende Fall eine schwere Missachtung des Beschäftigtendatenschutzes darstellt, weshalb das Bußgeld angemessen sei. Es sollen hierdurch andere Unternehmen davon abgeschreckt werden, zukünftig ihre Beschäftigten in ihrer Privatsphäre zu verletzen.

Der vorliegende Fall dokumentiert eine schwere Missachtung des Beschäftigtendatenschutzes am H&M-Standort Nürnberg. Das verhängte Bußgeld ist dementsprechend in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.

Die Datenerhebung wurde bekannt, nachdem die Notizen infolge eines Konfigurationsfehlers im Oktober 2019 für einige Stunden unternehmensweit zugreifbar gewesen sind. Der HmbBfDI wurde durch Presseberichte über die Datensammlung informiert. Darauffolgend verlangte er die vollständige „Einfrierung“ des Inhalts des Netzlaufwerks sowie die Herausgabe des Datensatzes.

Das Modeunternehmen stellte die Daten von rund 60 Gigabyte zur Auswertung zur Verfügung, woraufhin auch Vernehmungen zahlreicher Zeugen und Zeuginnen die ausgeführten Techniken des Unternehmens zur Datenerfassung bestätigten.

Nachdem die Gesetzesverstöße offenkundig wurden, reagierte das Unternehmen umfassend und führte einen finanziellen Ausgleich der geschädigten Mitarbeiter durch. Jedem Beschädigten wurde ein Schadensersatz in beachtlicher Höhe ausgezahlt. Zusätzlich entschuldige sich das Unternehmen bei allen Betroffenen ausdrücklich. Diesbezüglich betonte Johannes Caspar, dass es sich hier um ein beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß handelt.

Es handelt sich insoweit um ein bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem  Datenschutzverstoß. 

Die Aufdeckung der erheblichen Verstöße hat die Verantwortlichen zur Ergreifung verschiedener Abhilfemaßnahmen veranlasst. Zur Aufarbeitung der vergangenen Geschehnisse hat sich die Unternehmensleitung nicht nur ausdrücklich bei den Betroffenen entschuldigt. Sie folgt auch der Anregung, den Beschäftigten einen unbürokratischen Schadenersatz in beachtlicher Höhe auszuzahlen.

Auch wurde danach das Datenschutzkonzept des Unternehmens verändert, indem unter anderem ein Datenschutzkoordinator ernannt worden ist.

Weitere Bausteine des neu eingeführten Datenschutzkonzepts sind unter anderem ein neu berufener Datenschutzkoordinator, monatliche Datenschutz-Statusupdates, ein verstärkt kommunizierter Whistleblower-Schutz sowie ein konsistentes Auskunfts-Konzept.

Schließlich ist trotz der erheblichen datenschutzrechtlichen Verletzung des Unternehmens, laut dem HmbBfDI, das Bemühen der Konzernleitung, die Betroffenen vor Ort zu entschädigen und das Vertrauen in das Unternehmen als Arbeitgeber wiederherzustellen, ausdrücklich positiv zu bewerten.

 Ausdrücklich positiv ist das Bemühen der Konzernleitung zu bewerten, die Betroffenen vor Ort zu entschädigen und das Vertrauen in das Unternehmen als Arbeitgeber wiederherzustellen. Die transparente Aufklärung seitens der Verantwortlichen und die Gewährleistung einer finanziellen Kompensation zeigen durchaus den Willen, den Betroffenen den Respekt und die Wertschätzung zukommen zu lassen, die sie als abhängig Beschäftigte in ihrem täglichen Einsatz für ihr Unternehmen verdienen.