Hamburger Datenschutzbehörde verhängt Rekord-Geldbuße von 35,3 Millionen Euro gegen H&M

Seit Inkrafttreten der Datenschutz-Grundverordnung der EU (DS-GVO) werden datenschutzrechtliche Verstöße immer häufiger geahndet und auch die Höhe der verhängten Bußgelder steigt kontinuierlich. Nun hat der Modekonzern H&M den Rekord für das in Deutschland bisher höchste verhängte Bußgeld seit Inkrafttreten der DS-GVO geknackt. Das Unternehmen hatte die Privatsphäre seiner Angestellten erheblich verletzt und hierfür von der Hamburger Datenschutzbehörde eine Geldbuße in Höhe von 35,3 Millionen Euro auferlegt bekommen.

Was ist geschehen?

Das schwedische Modeunternehmen, deren deutsche Gesellschaft ihren Sitz in Hamburg hat, hatte seit mindestens 2014 in seinem Servicecenter in Nürnberg systematisch Daten über private Lebensumstände ihrer Mitarbeiterinnen und Mitarbeitern gesammelt und auf einem Netzlaufwerk dauerhaft gespeichert, auf das rund 50 Führungskräfte Zugriff hatten. Nach Urlaubs- und Krankheitsabwesenheiten führten die vorgesetzten Teamleader einen sogenannten Welcome Back Talk durch und hielten anschließend sämtliche Details im System fest. Dabei wurden in etlichen Fällen nicht nur konkrete Urlaubsereignisse der Beschäftigen festgehalten sondern auch Krankheitssymptome und Diagnosen. Zusätzlich zu den, im Rahmen dieser Welcome Back Talks, gesammelten Informationen, sammelten die Vorgesetzten über Einzel- und Flurgespräche weitere Informationen über das Privatleben ihrer Mitarbeitenden, welche von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen reichten.

Diese so erstellten persönlichen Mitarbeiterprofile wurden anschließend zur Auswertung der individuellen Arbeitsleistung genutzt und als Grundlage für Maßnahmen und Entscheidungen im Arbeitsverhältnis verwendet.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Johannes Caspar qualifiziert die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, als einen besonders intensiven Eingriff in die Rechte der Mitarbeiter.

Aufgeflogen ist die detaillierte Überwachung der Mitarbeiter dadurch, dass die gespeicherten Daten in Folge eines Systemfehlers im Oktober 2019 für einige Stunden unternehmensweit zugänglich waren und die Presse hierüber berichtet hatte. Nach Bekanntwerden dieser Praxis ließ sich die hamburgische Datenschutzbehörde einen Datensatz von rund 60 Gigabyte zur Auswertung aushändigen und vernahm zahlreiche Zeugen, die die Praktiken bestätigen konnten.

Nach Aufdeckung dieser Verstöße hat das Unternehmen ein umfassendes Datenschutzkonzept vorgelegt. Ferner hat sich die Unternehmensleitung ausdrücklich bei den Betroffenen entschuldigt und sich zusätzlich bereit erklärt, den diesen einen unbürokratischen Schadenersatz in beachtlicher Höhe auszuzahlen. Die konkrete Höhe dieses Schadensersatzes ist nicht bekannt. Die Hamburger Datenschutzbehörde sah das Bemühen der Konzernleitung zur Wiedergutmachung als positiv an und wertete dieses als ein bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß.

Gegen den Beschluss der Datenschutzbehörde könnte das Unternehmen noch vorgehen, allerdings ist dies eher unwahrscheinlich. Berücksichtigt man die nach der DS-GVO theoretisch mögliche Strafe von vier Prozent des Weltweiten Jahresumsatzes und die Schwere der hier begangenen Verstöße, hätte es das Unternehmen noch deutlich härter treffen können.

Fazit:

Nachdem in diesem Jahr bereits hohe Bußgelder gegen die Deutsche Wohnen (14,5 Millionen Euro), 1&1 Drillisch (9,5 Millionen Euro) und nun auch gegen H&M 35,3 Millionen Euro verhängt wurden, wird deutlich, dass Bußgelder in diesen Dimensionen nun auch in Deutschland zur gängigen Praxis gehören. Deutsche Datschenschutzbehörden scheuen sich nicht mehr davor, hohe Bußgelder zu verhängen, wenn diese zur Abschreckung der Unternehmen geeignet sind. Bisher kannten wir solche drakonischen Strafen eher aus Frankreich und anderen europäischen Ländern.
Vor diesem Hintergrund sollten Unternehmen dem Datenschutz noch mehr Aufmerksamkeit schenken und sollten vor jedweder rechtswidriger Überwachung ihrer Mitarbeiter absehen.