Ihr Datenschutz-Experte in Neumarkt i. d. OPf.

H&M – Rekordbußgeld für das Ausspähen von Mitarbeiterdaten

Datenschutzverstoß mit massiven finanziellen Folgen

H&M – Rekordbußgeld für das Ausspähen von Mitarbeiterdaten

Hamburgs Landesamt für Datenschutz hat ein Bußgeld von 35,3 Millionen Euro gegen den schwedischen Moderiesen Hennes & Mauritz (H&M) verhängt. Dies ist ein neuer Rekord für Bußgeldbescheide bei DSGVO-Verstößen. H&M hatte über einen langen Zeitraum hinweg Mitarbeiter eines Serviceteams in seiner Niederlassung in Nürnberg  ausgespäht. Laut dem Hamburger Landesdatenschutzbeauftragten Johannes Casper hat H&M dabei umfangreich die privaten Lebensumstände einiger Beschäftigter erfasst.

Diese Daten wurden notiert und dauerhaft auf einem Netzlaufwerk gespeichert. Zudem führte das Unternehmen nach urlaubs- oder krankheitsbedingten Abwesenheiten mit den Mitarbeitern sogenannte „Welcome Back Talks“ durchgeführt. Dabei wurden die privaten Urlaubserlebnisse oder Krankheitssymptome der Mitarbeiter erfasst. Vorgesetzte sollen sich zudem über Vier-Augen-Gespräche oder kurze Unterhaltungen auf dem Flur ein breites Wissen über das Privatleben der Beschäftigten angeeignet haben. Dies reichte von einfachen Details über Mitarbeiter bis hin zu sehr persönlichen Lebensumständen, etwa familiären Problemen. Dieses Wissen soll zum Teil digital gespeichert worden und für mehrere Führungskräfte lesbar gewesen sein.

Bekannt geworden war dieses Vorgehen, als die Notizen im Oktober 2019 im Zuge eines Konfigurationsfehlers für einige Stunden unternehmensweit lesbar waren. Nach ersten Presseberichten über den Vorfall war das Hamburger Landesamt für Datenschutz alarmiert. Das Amt war für den Fall zuständig, da sich Deutschlandsitz von H&M in Hamburg befindet. Der Hamburger Landesdatenschutzbeauftragte ordnete an, die Inhalte des Netzlaufwerkes „einzufrieren“ und die Daten an seine Behörde herauszugeben.

Nach Auswertung des rund 60 Gigabyte Daten und Zeugenbefragungen verhängte Casper das Rekordbußgeld. Er begründete diese hohe Summe damit, dass H&M den Beschäftigtendatenschutz schwer missachtet hat. H&M hat sich mittlerweile entschuldigt, Verbesserungen im Unternehmen zum Thema Datenschutz angestoßen und Schadenersatzzahlungen angeboten.

Was bedeutet Beschäftigtendatenschutz im Unternehmen?

Das Vorgehen von H&M war von Anfang an ein eindeutiger Verstoß gegen die DSGVO. Die DSGVO gilt auch für die Daten der Beschäftigten. Ein Unternehmen darf nur die Daten von Mitarbeitern erheben, die nötig sind,

  • damit der Beschäftigte seinen Job erledigen kann,
  • man vertraglichen oder rechtlichen Verpflichtungen nachkommen kann oder
  • wenn der Mitarbeiter in die Erfassung ausdrücklich eingewilligt hat.