Rekordbußgeld gegen schwedischen Modekonzern wegen Überwachung von Mitarbeitern

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) verhängte am 1. Oktober 2020 ein Bußgeld in Höhe von 35,3 Mio. Euro gegen den schwedischen Modekonzern H&M Hennes & Mauritz Online Shop A.B. & Co. KG. Dem Unternehmen wird vorgeworfen, Hunderte seiner Mitarbeiter jahrelang überwacht zu haben (siehe auch die Pressemitteilung des HmbBfDI).

Hintergrund der DSGVO-Geldbuße

Seit mindestens 2014 führten Vorgesetzte mit Beschäftigten im H&M-Servicecenter Nürnberg sowohl nach kurzen als auch längeren urlaubs- und krankheitsbedingten Abwesenheiten sogenannte Welcome Back Talks durch. Im Rahmen dieser Gespräche wurden auch etliche private Lebensumstände der Beschäftigten abgefragt. Hierbei erfasste man neben konkreten Ausführungen zu Urlaubserlebnissen sogar Krankheitssymptome und Diagnosen.

Zusätzlich eigneten sich einige Vorgesetzte viel Wissen über private Umstände ihrer Mitarbeiter über Flur- und Einzelgespräche an. Informationen umfassten u.a. Details über familiäre Probleme sowie religiöse Bekenntnisse. Diese Informationen wurden zum Teil aufgezeichnet, digitalisiert auf einem Laufwerk abgelegt und waren für bis zu 50 weitere Führungskräfte einsehbar. Die Aufzeichnungen über die Beschäftigten wiesen zudem einen hohen Detailierungsgrad auf und wurden teilweise fortlaufend ergänzt. Mit Hilfe dieser Daten konnte so eine akribische Auswertung der Arbeitsleistung der einzelnen Mitarbeiter vorgenommen werden. Zusätzlich wurden die Daten genutzt, um Profile über die Mitarbeiter zu erstellen, die Auswirkungen auf ihr Beschäftigungsverhältnis bei H&M hatten.

Nur durch einen technischen Fehler im Oktober 2019 wurde die gelebte Praxis des Konzerns bekannt, da diese Informationen zeitweise unternehmensweit eingesehen werden konnten. Es stellte sich heraus, dass die über die Mitarbeiter gesammelten Informationen insgesamt eine Datensatzgröße von 60 Gigabyte umfassten.

Der Konzern ergriff hiernach Maßnahmen, indem das Datenschutzkonzept um neue Aspekte ergänzt wurde. Diese umfassen unter anderem monatliche Datenschutz-Updates als auch ein konsistentes Auskunfts-Konzept.

Tipp: Wir analysieren regelmäßig von den Aufsichtsbehörden verhängte DSGVO-Bußgelder, damit Sie in Ihrem Unternehmen nicht die gleichen Fehler machen!

Begründung der Bußgeldhöhe

Das verhängte Bußgeld ist nach dem Bußgeld gegen den Immobilienkonzern Deutsche Wohnen das höchste, was seit Einführung der DSGVO von einer deutschen Aufsichtsbehörde verhängt wurde. Im Hinblick auf die schwere Missachtung des Beschäftigtendatenschutzes sei „das verhängte Bußgeld dementsprechend in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken“, so Prof. Dr. Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit. Positiv hervorzuheben sei zwar, dass die Konzernleitung nach Bekanntwerden des Datenschutzverstoßes die Verantwortung für ihr Handeln übernahm, sich bei den Beschäftigten entschuldigte und ihnen „einen unbürokratischen Schadensersatz in beachtlicher Höhe“ in Aussicht stellte. Nichtsdestotrotz änderte dies nichts an der Höhe des festgesetzten Bußgeldes, da die gravierende Verletzung beim Verstoß gegen den Beschäftigtendatenschutz bereits eingetreten ist.

Datenschutzrechtliche Einschätzung

Dieser Fall macht deutlich, dass die faktische Einhaltung des Datenschutzes und die Maßnahmen, die u.a. in einem Datenschutzkonzept beschrieben sind, von enormer Wichtigkeit sind. Auf der anderen Seite sind auch hohe Bußgelder durch Aufsichtsbehörden nicht (mehr) nur theoretischer Natur.

Datenschutzrechtliche Compliance kann nur gewährleistet werden, wenn im Unternehmen ein Datenschutz-Managementsystem implementiert ist, welches dem PCDA-Modell (Planung, Umsetzung, Kontrolle und Optimierung) entspricht. Nur so kann sichergestellt werden, dass datenschutzrechtliche Maßnahmen wirksam umgesetzt und ständig verbessert werden können.

Neben umfassenden Planungsdokumenten wie einem Datenschutzkonzept ist es wichtig, die hierin beschriebenen Maßnahmen im Unternehmen auch zu leben. Dies umfasst neben den technisch und organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO auch regelmäßige Kontrollen, um sich an aktuelle Gegebenheiten anpassen zu können.

Ein solch schwerwiegender Verstoß gegen den Beschäftigtendatenschutz wie im Beispiel von H&M erschüttert nicht nur das Vertrauen der eigenen Beschäftigten, sondern hat auch einen erheblichen Reputationsverlust für den gesamten Konzern zur Folge. Lassen Sie es erst gar nicht so weit kommen!

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Kommentar schreiben

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Netiquette: Wir tolerieren keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen sondern löschen. Informationen zu der Verarbeitung Ihrer personenbezogenen Daten finden Sie in unserer Datenschutzerklärung.