Das Servicecenter in Nürnberg von H&M hat seine Mitarbeiter massiv ausspioniert. Nun muss der schwedische Bekleidungshändler ein Bußgeld von über 35,3 Millionen Euro zahlen.
Informationen zu Urlaub und Krankheit der Mitarbeiter
Der Bußgeldbescheid gegen Hennes & Mauritz erging durch den Hamburger Datenschutzbeauftragten Johannes Caspar, da der Konzern dort seinen Hauptsitz hat. H&M werden im Bußgeldbescheid schwere Verstöße gegen den Beschäftigtendatenschutz am Standort in Nürnberg vorgeworfen. Im Call-Center des Standorts soll es bereits seit 2014 bei Mitarbeitern „zu umfangreichen Erfassungen privater Lebensumstände“ gekommen sein, so der Datenschutzbeauftragte Caspar. Die Aufzeichnungen hierzu wurden sogar auf einem Netzlaufwerk gespeichert. Es wurden wohl detaillierte Urlaubserlebnisse der Mitarbeiter und auch Krankheitssymptome sowie die entsprechenden Diagnosen aufgezeichnet. Vorgesetzte Teamleiter haben im Anschluss an Krankheit oder Urlaub sogar einen „Welcome Back“ Talk durchgeführt.
Weiter sollen von Vorgesetzten erlangte Informationen zum Privatleben, wie Religion und familiäre Probleme, digital erfasst und gespeichert worden sein, so die Vorwürfe. Diese Informationen teilten die Verantwortlichen mit ca. 50 weiteren Führungskräften im Haus. Nach Caspar wurden „die Aufzeichnungen bisweilen mit einem hohen Detailgrad vorgenommen und im zeitlichen Verlauf fortgeschrieben“. Mit den gewonnenen Informationen wurde die Arbeitsleistung ausgewertet und für die hinterlegten Mitarbeiter einzelne Profile für Maßnahmen erstellt. „Dies führte zu einer besonders schwerwiegenden Eingriff“, Johannes Caspar.
Konfigurationsfehler deckte alles auf
Da die Datei nicht ordentlich gesichert war ist im Oktober 2019 alles aufgeflogen. Ein Konfigurationsfehler führte dazu, dass die Datei für Stunden durch alle eingesehen werden konnte. Nach Anordnung des Datenschutzbeauftragten für Hamburg wurde dann das Netzlaufwerk erst einmal „eingefroren“. Daraufhin forderte er dann die Herausgabe. Der Datensatz umfasste wohl fast 60 Gigabyte Informationen zu den Beschäftigten. In der Folge wurde Zeugen vernommen, die die Praktiken bei H&M bestätigten. Auch H&M sah die Verletzung des Beschäftigtendatenschutzes als Anlass zu handeln. Das Unternehmen trennte sich daraufhin von einen Beschäftigten in der Führungsebene und erstellte ein umfangreichen Datenschutzkonzept, welche umgesetzt werden soll.
Abschreckung durch hohe Bußgelder gewollt
Nach den ergangenen Informationen sei das Bußgeld der „Höhe nach angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken“, so der Datenschutzbeauftragte Johannes Caspar. Zugleich lobte Caspar „die transparente Aufklärung durch die Verantwortlichen, sowie die gewährleistung einer finanziellen Kompensation“. Die Verantwortlichen bei H&M zeigen damit Respekt für die betroffenen Mitarbeiter.
Höchste Bußgeld bisher
Der gegen H&M ergangene Bußgeldbescheid ist der bisher höchste von den Aufsichtsbehörden erlassene. Seit Inkrafttreten der DS-GVO vor über zwei Jahren lag der Bußgeld-Rekord aktuell bei 14,5 Millionen Euro. Dieser ging gegen die Berliner Immobiliengesellschaft Deutsche Wohnen. Auch wenn die Gesellschaft den Bescheid bisher nicht anerkennen will. H&M prüft nun den Bußgeldbescheid eingehend und will anschließend entscheiden, ob sie diesen so akzeptieren werden.
H&M gelobt Besserung und verpflichtet sich die Datenschutzgrundverordnung einzuhalten.
