35,3 Millionen Euro Bußgeld gegen H&M

Am 01.10.2020 hat der Hamburgische Beauftragte für  Datenschutz und Informationsfreiheit, Prof. Dr. Johannes Caspar, ein bemerkenswertes Bußgeld gegen die Modekette H&M Hennes & Mauritz Online Shop A.B. & Co. KG erlassen. Was macht dieses Bußgeld so bemerkenswert?

Höhe

Zum einen die beachtliche Höhe. Das Bußgeld beträgt 35.258.707,95 EUR. In Deutschland wurden bisher wenige Bußgelder öffentlich, die in einer ähnlichen Liga spielen. So wurden siebenstellige Bußgelder zuvor nur dreimal ausgesprochen (bzw. veröffentlicht) – H&M reiht sich hier nun als viertes Unternehmen ein und übernimmt direkt die Spitzenposition.

Vorwurf

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit beurteilt das Bußgeld als „in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken“. Grund genug, sich dem genauen Vorwurf zu widmen.

Pro. Dr. Caspar wirft H&M vor, seit mindestens 2014 die Privatsphäre der Beschäftigten im Servicecenter Nürnberg missachtet zu haben. So soll das Unternehmen bei einem Teil der Beschäftigten umfangreiche Informationen zu privaten Lebensumständen gesammelt haben. Unter anderem geht es um diese Themen:

• Nach Urlaubs- und Krankheitsabwesenheiten sollen die vorgesetzten Teamleader sog. Welcome Talks durchgeführt haben, bei denen nachträglich konkrete Urlaubserlebnisse und sogar Krankheitssymptome und Diagnosen festgehalten wurden.
• Einige Vorgesetzte sollen sich über Einzel- und Flurgespräche ein breites Wissen über das Privatleben der Beschäftigten angeeignet haben. So soll es sich bei den Informationen teilweise um familiäre Probleme und religiösen Bekenntnissen handeln. Auf diese Informationen hätten in Folge ca. 50 Führungskräfte Zugriff gehabt.
• Die gewonnen Daten sollen dazu genutzt worden sein, ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erstellen.

Aufdeckung

Bekannt wurde die Praxis nur, weil im Oktober 2019 die Notizen für einige Stunden aufgrund eines Konfigurationsfehlers unternehmensweit verfügbar waren. Mehrere Presseberichte griffen den Fall auf, sodass dieser schlussendlich beim Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit auf dem Tisch landete. Man mag sich nun fragen, wieso eine Datenschutzverletzung in Bayern den Hamburgischen Datenschutzbeauftragten auf den Plan ruft. Die H&M Hennes & Mauritz Online Shop AB & Co. KG hat ihren Sitz in Hamburg – ist also dort im Handelsregister registriert. Entscheidend dafür, welche Aufsichtsbehörde tätig werden muss, ist nicht der Standort der Betriebsstätte (in diesem Fall Nürnberg), sondern der Hauptsitz des Verantwortlichen (Hamburg).

Prof. Dr. Caspar verlangte als Reaktion auf die Presseberichte die Herausgabe der Daten. H&M sei dieser Aufforderung nachgekommen und lieferte rund 60 Gigabyte Daten.

Konsequenzen

Liest man den Pressebericht der Hamburgischen Datenschutzaufsicht aufmerksam, so lässt sich eine gewisse Kooperationsbereitschaft seitens H&M erkennen. Zum einen seien die Notizen zwecks Auswertung zur Verfügung gestellt wurden. Zum anderen sollen die Verantwortlichen verschiedene Abhilfemaßnahmen veranlasst haben. Unter anderem:

• Vorlegen eines umfassendes Datenschutzkonzepts
• Zahlung von Schadenersatz an die betroffenen Beschäftigten in „beachtlicher Höhe“
• Berufung eines neuen Datenschutzkoordinators
• Einführung monatlicher Datenschutz-Statusupdates
• Verstärkter Whistleblower-Schutz
• Konsistentes Auskunfts-Konzept

Fazit

Was macht dieses Bußgeld also schlussendlich trotzdem so bemerkenswert? Zum einen der erhobene Vorwurf an sich. Zum anderen sicherlich auch der Umstand der Aufdeckung. Eigentlich ein klassischer Fall von Versagen der Informationssicherheit – in diesem Fall mit positiven Auswirkungen, zumindest für die Beschäftigten. Darüber hinaus auch die Zusammenarbeit mit dem Hamburgischen Datenschutzbeauftragten und die innerbetriebliche Aufarbeitung.

Nichtsdestotrotz zeigt dieser Fall deutlich, dass verantwortliche Stellen die Privatsphäre ihrer Beschäftigten wahren müssen. Es gilt also nicht nur die Daten der Kunden zu schützen, sondern auch die Daten der Beschäftigten mindestens mit selbiger Intensität.

Was übrig bleibt ist ein bemerkenswert hohes Bußgeld und ein ramponiertes Image durch erneute landesweite Presseberichterstattung.