-- WEBONDISK OK --
search
add
Die Contentplattform
Wissen auf einen Klick
05. Oktober 2020
Wirtschaftsrecht
Verstoß gegen Datenschutz
Datenschutzbeauftragter von Hamburg verhängt Rekordbußgeld gegen H&M
Prof. Dr. Johannes Caspar: Rechtswidrig gesammelte Mitarbeiterdaten waren aufgrund eines Konfigurationsfehlers über ein Netzlaufwerk einige Stunden lang unternehmensweit abrufbar (Foto: anyaberkut/Fotolia.com)
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) in Hamburg, Prof. Dr. Johannes Caspar, hat gegen das Modeunternehmen H&M ein Bußgeld von etwa 35 Millionen Euro verhängt. Soweit ersichtlich, ist dies ein Rekordbußgeld. Dies teilte die Datenschutzbehörde in einer aktuellen Pressemeldung mit.
Hintergrund des Bußgeldbescheides sind Verstöße bei einem Service-Center von H&M in Nürnberg. Dort soll es bei einem Teil der Beschäftigten zu umfangreichen Erfassungen von privaten Lebensumständen gekommen sein. So sollen vorgesetzte Teamleader bei Mitarbeitern einen sogenannten „Welcome Back Talk“ nach Urlaubs- und Krankheitsabwesenheiten durchgeführt haben.
Im Anschluss an diese Gespräche seien vielfach unter anderem Krankheitssymptome der Beschäftigten und Diagnosen festgehalten worden. Darüber hinaus sollen einige Vorgesetzte in Einzel- und Flurgesprächen ein breites Wissen über das Privatleben ihrer Mitarbeitenden gesammelt haben. Das Wissensspektrum reichte von harmlosen Details bis zu familiären Problemen und religiösen Bekenntnissen. Die Datenschutzverstöße im Kern:
Aufzeichnung der gewonnen Erkenntnisse
Zum Teil sollen die gewonnenen Erkenntnisse aufgezeichnet und digital gespeichert worden sein. Zeitweise waren diese im ganzen Haus abrufbar.
Der kostenlose Newsletter Recht - Hier können Sie sich anmelden!
Redaktionelle Nachrichten zu neuen Entscheidungen und Rechtsentwicklungen, Interviews und Literaturtipps.
Erstellung von Profilen
Die erhobenen Daten wurden unter anderem zur Auswertung der individuellen Arbeitsleistung genutzt, aber auch, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten. Die Kombination aus Ausforschung des Privatlebens und der laufenden Erfassung der jeweiligen Tätigkeit der Mitarbeiter führte nach Auffassung der Datenschützer zu einem besonders intensiven Eingriff in die Rechte der Betroffenen.
Bekannt wurde die Datenerhebung im Oktober 2019 dadurch, dass wegen eines Konfigurationsfehlers über ein Netzlaufwerk für einige Stunden unternehmensweit auf die angelegten Notizen zugegriffen werden konnte.
Nachdem Caspar über Presseberichte hiervon erfuhr, ordnete er zunächst an, den Inhalt des Netzlaufwerks vollständig einzufrieren und verlangte die Herausgabe der aufgezeichneten Daten. H&M legte Caspar daraufhin einen Datensatz von rund 60 Gigabyte zur Auswertung vor. Nach Analyse der Daten wurden die dokumentierten Praktiken durch Vernehmungen zahlreicher Zeugen bestätigt.

H&M legt neues Datenschutzkonzept vor
Wie die Datenschutzbehörde weiter mitteilt, hat die Aufdeckung der Verstöße die Verantwortlichen von H&M dazu veranlasst, verschiedene Maßnahmen zur Abhilfe zu ergreifen. Sie legten dem HmbBfDI ein Konzept vor, nach dem am Standort Nürnberg der Datenschutz umgesetzt werden soll. Bausteine dieses Datenschutzkonzepts sind unter anderem:
ein neu berufener Datenschutzkoordinator,
monatliche Datenschutz-Statusupdates,
ein verstärkt kommunizierter Whistleblower-Schutz
und ein konsistentes Auskunfts-Konzept.
Darüber hinaus hat H&M in einem eigenen Statement weitere Maßnahmen angekündigt, wie etwa:
personelle Veränderungen auf der Führungsebene im Service Center in Nürnberg,
zusätzliche Schulungen für Führungskräfte zu den Themen Datenschutz und Arbeitsrecht,
sowie überarbeitete Beschreibungen zum Datenschutz für HR-Zwecke.
Zur Aufarbeitung der Vorgänge Geschehnisses hat sich die Unternehmensleitung ausdrücklich bei den Betroffenen entschuldigt. Zudem folgte sie einer Anregung, den Beschäftigten einen Schadenersatz zu leisten. So sollen alle Beschäftigten des Servicezentrums und alle, die seit Inkrafttreten der DSGVO für mindestens einen Monat angestellt waren, eine finanzielle Entschädigung erhalten. Zu einer Entschädigung ist das Unternehmen allerdings nach Art. 82 DSGVO ohnehin verpflichtet.

Caspar: Bußgeld angemessen und abschreckend
Der Hamburgische Datenschutzbeauftragte, Prof. Dr. Johannes Caspar, teilte hierzu mit:
„Der vorliegende Fall dokumentiert eine schwere Missachtung des Beschäftigtendatenschutzes am H&M-Standort Nürnberg. Das verhängte Bußgeld ist dementsprechend in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken“.
Darüber hinaus bewerte Caspar die Absicht der Konzernleitung, die Betroffenen zu entschädigen und das Vertrauen in das Unternehmen als Arbeitgeber wiederherzustellen, positiv. Caspar hierzu weiter:
„Die transparente Aufklärung seitens der Verantwortlichen und die Gewährleistung einer finanziellen Kompensation zeigen durchaus den Willen, den Betroffenen den Respekt und die Wertschätzung zukommen zu lassen, die sie als abhängig Beschäftigte in ihrem täglichen Einsatz für ihr Unternehmen verdienen.“ Die Zuständigkeit des HmbBfDI ergibt sich daraus, dass das betroffene Unternehmen H&M Deutschland seinen Sitz in Hamburg hat. Die Entscheidung ist jedoch noch nicht rechtskräftig. So will H&M laut seiner eigenen Pressemeldung den Beschluss der Aufsichtsbehörde sorgfältig prüfen.
Quellen:
 
Dr. Hans-Jürgen Schaffland, Gabriele Holthaus, Dr. Astrid Schaffland
Die Entwicklung des Datenschutzrechts ist dynamisch wie die sie prägenden Technologien. Laufend aktuell ergänzt, hält Sie DATENSCHUTZdigital konsequent auf neuestem Stand. EU-, Bundes- und Landesdatenschutzrecht systematisch integriert finden Sie insbesondere
eine vollständige Kommentierung der DS-GVO und des BDSG (neu) für alle typischen Konstellationen in der Praxis ,
eine einschlägige Regelungstexte der Landesdatenschutzgesetze sowie vom BDSG tangierter Gesetze.
Neben einer leicht verständlichen Synopse zu bisherigem und neuem Recht finden Sie auch Beertungen zu Auswirkungen der DS-GVO auf die Rechtslage – unter Beachtung des BDSG (neu). Innerhalb der DS-GVO-Erläuterungen werden neues Recht und die bisherige Rechtslage übersichtlich gespiegelt .
(ESV/bp)
ESV-Redaktion Recht
ESV-Digital Arbeitssicherheit
Jahresabonnement (Einzellizenz)
EUR (D) 4,95
Nettopreis pro Monat
Bitte wechseln Sie auf eine breitere Darstellung.
Für optimale Übersichtlichkeit ist die Darstellung von ESV-Digital auf breitere Anzeigen beschränkt.