So bekommen Sie immer die neuesten und wichtigsten Informationen zum Thema Datenschutz, Informationssicherheit und IT-Compliance zugeschickt.
Durch das klicken des Buttons erklären sie sich damit einverstanden, externe Inhalte von Newsletter2Go zu laden. Weitere Informationen erhalten Sie in unserer Datenschutzerklärung.
Am 01.10.2020 hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Prof. Dr. Johannes Caspar, ein bemerkenswertes Bußgeld gegen die Modekette H&M Hennes & Mauritz Online Shop A.B. & Co. KG erlassen. Was macht dieses Bußgeld so bemerkenswert?
Zum einen die beachtliche Höhe. Das Bußgeld beträgt 35.258.707,95 EUR. In Deutschland wurden bisher wenige Bußgelder öffentlich, die in einer ähnlichen Liga spielen. So wurden siebenstellige Bußgelder zuvor nur dreimal ausgesprochen (bzw. veröffentlicht) – H&M reiht sich hier nun als viertes Unternehmen ein und übernimmt direkt die Spitzenposition.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit beurteilt das Bußgeld als „in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken“. Grund genug, sich dem genauen Vorwurf zu widmen.
Pro. Dr. Caspar wirft H&M vor, seit mindestens 2014 die Privatsphäre der Beschäftigten im Servicecenter Nürnberg missachtet zu haben. So soll das Unternehmen bei einem Teil der Beschäftigten umfangreiche Informationen zu privaten Lebensumständen gesammelt haben. Unter anderem geht es um diese Themen:
Bekannt wurde die Praxis nur, weil im Oktober 2019 die Notizen für einige Stunden aufgrund eines Konfigurationsfehlers unternehmensweit verfügbar waren. Mehrere Presseberichte griffen den Fall auf, sodass dieser schlussendlich beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit auf dem Tisch landete. Man mag sich nun fragen, wieso eine Datenschutzverletzung in Bayern den Hamburgischen Datenschutzbeauftragten auf den Plan ruft. Die H&M Hennes & Mauritz Online Shop AB & Co. KG hat ihren Sitz in Hamburg – ist also dort im Handelsregister registriert. Entscheidend dafür, welche Aufsichtsbehörde tätig werden muss, ist nicht der Standort der Betriebsstätte (in diesem Fall Nürnberg), sondern der Hauptsitz des Verantwortlichen (Hamburg).
Prof. Dr. Caspar verlangte als Reaktion auf die Presseberichte die Herausgabe der Daten. H&M sei dieser Aufforderung nachgekommen und lieferte rund 60 Gigabyte Daten.
Liest man den Pressebericht der Hamburgischen Datenschutzaufsicht aufmerksam, so lässt sich eine gewisse Kooperationsbereitschaft seitens H&M erkennen. Zum einen seien die Notizen zwecks Auswertung zur Verfügung gestellt wurden. Zum anderen sollen die Verantwortlichen verschiedene Abhilfemaßnahmen veranlasst haben. Unter anderem:
Was macht dieses Bußgeld also schlussendlich trotzdem so bemerkenswert? Zum einen der erhobene Vorwurf an sich. Zum anderen sicherlich auch der Umstand der Aufdeckung. Eigentlich ein klassischer Fall von Versagen der Informationssicherheit – in diesem Fall mit positiven Auswirkungen, zumindest für die Beschäftigten. Darüber hinaus auch die Zusammenarbeit mit dem Hamburgischen Datenschutzbeauftragten und die innerbetriebliche Aufarbeitung.
Nichtsdestotrotz zeigt dieser Fall deutlich, dass verantwortliche Stellen die Privatsphäre ihrer Beschäftigten wahren müssen. Es gilt also nicht nur die Daten der Kunden zu schützen, sondern auch die Daten der Beschäftigten mindestens mit selbiger Intensität.
Was übrig bleibt ist ein bemerkenswert hohes Bußgeld und ein ramponiertes Image durch erneute landesweite Presseberichterstattung.