Schwere Datenschutz-Verstöße
35 Millionen Euro Bußgeld für H&M
Die Missachtung der DSGVO kann schnell ins Geld gehen. Das muss jetzt auch der schwedische Modekonzern H&M feststellen, der mit einem Millionenbußgeld für die Bespitzelung der eigenen Mitarbeiter belegt wurde.
Mehr als zwei Jahre nach ihrem endgültigen Inkrafttreten bereitet die DSGVO noch immer vielen Unternehmen erhebliche Kopfschmerzen. Mit teils erheblichem Aufwand suchen sie Wege, die regelkonforme Speicherung ihrer Kundendaten mit den etablierten Tools und Prozessen unter einen Hut zu bekommen. Doch nicht nur die Daten der Kunden müssen entsprechend verarbeitet werden, auch für diejenigen der eigenen Mitarbeiter gelten die Vorgaben. Was sonst passieren kann, zeigt ein aktueller Fall aus Nürnberg, den die Kanzlei WBS Law beschreibt. An ihrem dortigen Standort hatte die Leitung des Servicecenters der Modekette H&M jahrelang datenschutzrechtlich höchst problematische Notizen zu Mitarbeitergesprächen dauerhaft auf einem Netzlaufwerk gespeichert, auf das etwa 50 leitende Angestellte Zugriff hatten. Wegen dieses schweren Missbrauchs des Beschäftigtendatenschutzes verhängte der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) nun ein Bußgeld von über 35 Millionen Euro gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG.
Neben der Art der Speicherung waren dabei auch die erfassten Daten selbst höchst zweifelhaft. So gehörte es offenbar zum Standard-Prozedere, dass Führungskräfte nach urlaubs- und krankheitsbedingten Abwesenheiten einen sogenannten »Welcome Back Talk« mit Mitarbeitern führten. Darin ging es dann unter anderem um Details wie Erlebnisse aus dem Urlaub oder auch Krankheitssymptome und Diagnosen. Diese wurden dann von den Teamleitern in den bereits erwähnten Notizen vermerkt. Zusätzlich wurden diese unzulässigen Quasi-Personalakten dann auch noch um Informationen, etwa zum Glauben sowie persönlichen Problemen, angereichert, welche die Führungskräfte von Dritten erfahren hatten. Sowohl durch gezielte Einzelgespräche als auch kurze Unterhaltungen im Arbeitsalltag, also den berüchtigten »Flurfunk«. Dadurch entstanden äußerst fragwürdige persönliche Profile der Mitarbeiter, die auch als Basis für Personalentscheidungen genutzt wurden. Insgesamt kamen im Laufe der Jahre rund 60 GByte an entsprechenden Daten zusammen.
Bekannt geworden war die wohl seit 2014 angewendete Praxis nur durch einen Konfigurationsfehler, durch den vor einem Jahr für einige Stunden alle Mitarbeiter des Unternehmens Zugriff auf das Laufwerk und die Datensätze bekommen hatten. H&M hat sich inzwischen bei den Betroffenen entschuldigt und ihnen beträchtlichen Schadenersatz gezahlt. Der bemerkenswert offene und einsichtige Umgang mit den Fehlern bewahrte das Unternehmen jedoch nicht davor, nun auch noch die Datenschutzrechtlichen Konsequenzen für das drastische Fehlverhalten präsentiert zu bekommen.
Lesen Sie mehr zum Thema
