Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat ein Bußgeld in Höhe von 35.258.707,95 Euro verhängt. Betroffen ist der schwedische Händler Hennes & Mauritz (H&M). Die Firma hat in ihrem Servicecenter in Nürnberg Mitarbeiter massiv ausgespäht. Da H&M in Deutschland seinen Sitz in Hamburg hat, fällt dieser Sachverhalt unter die Zuständigkeit der Hamburger Aufsichtsbehörde.
Wie aus der Pressemitteilung der Hamburger Behörde vom 01.10.2020 hervorgeht, wurden im Servicecenter Nürnberg mindestens seit 2014 systematisch Daten über einen Teil der Mitarbeiter durch Vorgesetzte gesammelt und gespeichert. Hierbei kam es zu umfangreichen Erfassungen über die privaten Lebensumstände, diese wurden dann dauerhaft auf einem Netzlaufwerk gespeichert. Teilweise wurden sogar besondere Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO auf diese Art verarbeitet. Auf die derart gespeicherten Daten hatten mitunter bis zu 50 weitere Führungskräfte Zugriff.
Nach Abwesenheit von Mitarbeitern aufgrund von Urlaub oder Krankheit führten die Vorgesetzten Individualgespräche mit den Mitarbeitern durch. Hierbei wurden dann teilweise konkrete Urlaubserlebnisse festgehalten aber eben auch Krankheitssymptome und Diagnosen. Ergänzt wurde das Ganze durch Erkenntnisse aus Einzel- und Flurgesprächen zu eventuellen familiären Problemen oder religiösen Einstellungen. Diese Daten wurden neben der Auswertung der Arbeitsleistung zur Profilbildung über die Mitarbeiter eingesetzt.
Das Ganze wurde bekannt, da durch einen Konfigurationsfehler im Oktober 2019 die Informationen für einige Stunden unternehmensweit einsehbar waren. Nachdem der HambBfDI durch Presseberichte hierüber informiert wurde, ordnete er zunächst das „Einfrieren“ der Daten an. Dem kam das Unternehmen nach und händigte der Aufsichtsbehörde die Daten im Umfang von 60 GB aus.
Die Aufdeckung der erheblichen Verstöße hat den Verantwortlichen zum Ergreifen weitreichender Maßnahmen veranlasst. Wie aus einer Veröffentlichung von H&M hervorgeht, wurden zwischenzeitlich zahlreiche Abhilfemaßnahmen umgesetzt. Gleichzeitig sollen die betroffenen Personen eine finanzielle Entschädigung erhalten. Gleichzeitig prüft das Unternehmen den Bußgeldbescheid.
Die beträchtliche Höhe des Bußgeldes begründet der HambBfDI, Johannes Caspar, wie folgt: „Der vorliegende Fall dokumentiert eine schwere Missachtung des Beschäftigtendatenschutzes am H&M-Standort Nürnberg. Das verhängte Bußgeld ist dementsprechend in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.“
Bei diesem Bußgeld handelt es sich um das höchste Bußgeld, welches in Deutschland aufgrund von Datenschutzverstößen seit Inkrafttreten der DSGVO, verhängt wurde. Bisher lag der „Bußgeldrekord“ bei 14,5 Millionen Euro, verhängt durch die Berliner Datenschutzbeauftragte Maja Smoltczyk.