Deutsche Märkte geschlossen

Mitarbeiter ausgespäht: Datenschutzbeauftragter verhängt Rekord-Bußgeld gegen H & M

·Lesedauer: 5 Min.

Der Modehändler soll am Standort Nürnberg das Privatleben von mehreren Hundert Mitarbeitern ausgeforscht haben. Nun muss H & M gut 35 Millionen Euro zahlen.

Der Hamburger Datenschutzbeauftragte hat einen Bußgeldbescheid in Millionenhöhe gegen den Modehändler Hennes & Mauritz (H & M) erlassen. Mindestens seit dem Jahr 2014 sei es bei einem Teil der Beschäftigten zu „umfangreichen Erfassungen privater Lebensumstände“ gekommen, teilte die Behörde am Donnerstag mit. Entsprechende Notizen seien auf einem Netzlaufwerk dauerhaft gespeichert worden. Nun werden für H & M 35,3 Millionen Euro fällig. Bekanntgeworden waren die Vorgänge im vergangenen Jahr.

„Der vorliegende Fall dokumentiert eine schwere Missachtung des Beschäftigtendatenschutzes am H & M-Standort Nürnberg“, sagte der Datenschutzbeauftragte Johannes Caspar. „Das verhängte Bußgeld ist dementsprechend in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.“

In einer ersten Reaktion räumte das Unternehmen ein, dass es tatsächlich eine „Sicherheitsverletzung im Zusammenhang mit personenbezogenen Mitarbeiterdaten“ gab. Man arbeite uneingeschränkt mit der Behörde zusammen. H & M hat nun zwei Wochen Zeit, Einspruch gegen die Entscheidung einzulegen. Die schwedische Konzernzentrale kündigte an, den Bußgeldbeschluss nun sorgfältig prüfen zu wollen.

Das gegen H & M ausgesprochene Bußgeld ist das bislang höchste, das in Deutschland wegen Datenschutzverstößen verhängt wurde und das zweithöchste in Europa. 2019 musste der Immobilienkonzern Deutsche Wohnen 14,5 Millionen Euro zahlen. Im selben Jahr hatte der Bundesdatenschutzbeauftragte ein Bußgeld in Höhe von 9,6 Millionen Euro gegen den Telekomkonzern 1 & 1 Drillisch verhängt. Ebenfalls 2019 waren dem Internet-Riesen Google von Frankreichs Datenschutzbehörde 50 Millionen Euro Bußgeld aufgebrummt worden.

René Sandor, Rechtsanwalt im Datenschutzteam der Wirtschaftskanzlei CMS Deutschland, hält die drastische Strafe für gerechtfertigt. „Die Höhe des Bußgeldes mag auf den ersten Blick überraschen“, sagte er. „Allerdings wiegen die sanktionierten Verstöße wegen der erheblichen Eingriffe in die Privatsphäre der Beschäftigten besonders schwer.“

Hohen Geldstrafen bei Datenschutzverstößen ermöglicht die Datenschutz-Grundverordnung (DSGVO), die im Mai 2018 in Kraft getreten ist. Konnten nach dem alten Bundesdatenschutzgesetz maximal 300.000 Euro Bußgeld verhängt werden, erlaubt die DSGVO nun bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes.

Die europaweit geltenden Datenschutzvorschriften sollen vor allem Verbraucher besser schützen. So wird etwa die Verarbeitung personenbezogener Daten durch Unternehmen, Vereine oder Behörden deutlich strenger geregelt als zuvor. Verbraucher müssen darüber informiert werden, wer Daten wie Name, Adresse, E-Mail-Adresse und Ausweisnummer aus welchem Grund sammelt – und dem dann zustimmen.

Der Hamburger Datenschützer Caspar ist für die schwedische Modekette H & M zuständig, weil sie ihren Deutschlandsitz in der Hansestadt hat. Bei den Vorwürfen geht es um die Überwachung von mehreren Hundert Mitarbeiterinnen und Mitarbeitern des H & M-Servicecenters in Nürnberg durch die Center-Leitung.

Die vorgesetzten Teamleader führten demnach nach Urlaubs- und Krankheitsabwesenheiten – auch kurzer Art – einen sogenannten „Welcome-back-Talk“ durch. Nach diesen Gesprächen seien in etlichen Fällen nicht nur konkrete Urlaubserlebnisse der Beschäftigten festgehalten worden, sondern auch Krankheitssymptome und Diagnosen, erläuterte die Datenschutzbehörde.

„Zusätzlich eigneten sich einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden an, das von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen reichte.“

H & M reagiert mit neuem Datenschutzkonzept

Die Erkenntnisse seien teilweise aufgezeichnet und digital gespeichert worden. Mitunter seien diese Informationen für bis zu 50 weitere Führungskräfte im ganzen Haus lesbar gewesen. Die Hamburger Behörde sprach von Aufzeichnungen mit einem hohen Detailgrad, die dazu genutzt worden seien, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten.

„Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte zu einem besonders intensiven Eingriff in die Rechte der Betroffenen“, resümierte die Behörde.

Bekannt wurde die Datenerhebung dadurch, dass auf die Notizen infolge eines Konfigurationsfehlers im Oktober 2019 für einige Stunden unternehmensweit zugegriffen werden konnte. Nachdem die Hamburger Datenschutzbehörde über die Datensammlung durch Presseberichte informiert worden war, ordnete sie zunächst an, den Inhalt des Netzlaufwerks vollständig „einzufrieren“, und verlangte dann die Herausgabe.

Das Unternehmen sei dem nachgekommen und habe einen Datensatz von rund 60 Gigabyte zur Auswertung vorgelegt. „Vernehmungen zahlreicher Zeuginnen und Zeugen bestätigten nach Analyse der Daten die dokumentierten Praktiken“, teilte die Behörde mit.

Der Modehändler erklärte in einer Mitteilung, die offenbarten Praktiken bei der Verarbeitung von Mitarbeiterdaten seien mit den Richtlinien und Anweisungen des Konzerns nicht vereinbar gewesen. „H & M übernimmt die volle Verantwortung und möchte den Nürnberger Mitarbeitern eine vorbehaltlose Entschuldigung aussprechen.“

Das Unternehmen hat bereits mit einer Reihe von Maßnahmen auf den Vorfall reagiert. So hat es personelle Änderungen auf der Führungsebene im Service Center in Nürnberg gegeben. Auch habe es zusätzliche Schulungen für Führungskräfte zu den Themen Datenschutz und Arbeitsrecht gegeben, hieß es.

Die Hamburger Aufsichtsbehörde sprach von einem neuen Datenschutzkonzept, das der Konzern eingeführt habe – mit einem neu berufenen Datenschutzkoordinator, monatlichen Datenschutzstatus-Updates, einem Whistleblower-Schutz sowie einem „konsistenten“ Auskunftskonzept.

Behördenchef Caspar hob positiv das Bemühen der Konzernleitung hervor, die Betroffenen vor Ort zu entschädigen. „Die transparente Aufklärung seitens der Verantwortlichen und die Gewährleistung einer finanziellen Kompensation zeigen durchaus den Willen, den Betroffenen den Respekt und die Wertschätzung zukommen zu lassen, die sie als abhängig Beschäftigte in ihrem täglichen Einsatz für ihr Unternehmen verdienen“, sagte Caspar. Es handle sich um ein „bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß“.