Datenschutz-Bußgeld von 35,3 Millionen Euro gegen H&M

Datenschutzrecht, Mitarbeiterüberwachung und Bußgeld – der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat im Fall der Überwachung von mehreren 100 Mitarbeitern des H&M-Servicecenters in Nürnberg durch die Center-Leitung einen Bußgeldbescheid in Höhe von 35,3 Millionen Euro gegen H&M erlassen.

Sachverhalt: Worum geht es?

Aus der Pressemitteilung vom 01.10.2020 ergibt sich folgender Sachverhalt:

Die H&M Hennes & Mauritz Online Shop A.B. & Co. KG mit Sitz in Hamburg betreibt ein Servicecenter in Nürnberg. Mindestens seit dem Jahr 2014 kam es bei einem Teil der Beschäftigten zu umfangreichen Erfassungen privater Lebensumstände. Entsprechende Notizen wurden auf einem Netzlaufwerk dauerhaft gespeichert.

Nach Urlaubs- und Krankheitsabwesenheiten – auch kurzer Art – führten die vorgesetzten Teamleader einen sogenannten „Welcome Back Talk“ durch. Nach diesen Gesprächen wurden in etlichen Fällen nicht nur konkrete Urlaubserlebnisse der Beschäftigten festgehalten, sondern auch Krankheitssymptome und Diagnosen. Zusätzlich eigneten sich einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden an, das von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen reichte. Die Erkenntnisse wurden teilweise aufgezeichnet, digital gespeichert und waren mitunter für bis zu 50 weitere Führungskräfte im ganzen Haus lesbar. Die Aufzeichnungen wurden bisweilen mit einem hohen Detailgrad vorgenommen und im zeitlichen Verlauf fortgeschrieben.

Die so erhobenen Daten wurden neben einer akribischen Auswertung der individuellen Arbeitsleistung u.a. genutzt, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten.

Die Datenerhebung wurde bekannt, weil die Notizen infolge eines Konfigurationsfehlers im Oktober 2019 für einige Stunden unternehmensweit zugreifbar waren. Nachdem der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit über die Datensammlung durch Presseberichte informiert wurde, ordnete er zunächst an, den Inhalt des Netzlaufwerks vollständig „einzufrieren“ und verlangte dann die Herausgabe. Das Unternehmen kam dem nach und legte einen Datensatz von rund 60 Gigabyte zur Auswertung vor. Vernehmungen zahlreicher Zeuginnen und Zeugen bestätigten nach Analyse der Daten die dokumentierten Praktiken.

Die Aufdeckung der erheblichen Verstöße hat die Verantwortlichen zur Ergreifung verschiedener Abhilfemaßnahmen veranlasst. Dem HmbBfDI wurde ein umfassendes Konzept vorgelegt, wie von nun an am Standort Nürnberg Datenschutz umgesetzt werden soll. Zur Aufarbeitung der vergangenen Geschehnisse hat sich die Unternehmensleitung nicht nur ausdrücklich bei den Betroffenen entschuldigt. Sie folgt auch der Anregung, den Beschäftigten einen unbürokratischen Schadenersatz in beachtlicher Höhe auszuzahlen.

Ergebnis: Wie reagierte die Datenschutz-Aufsichtsbehörde?

Zwar wertet die Datenschutz-Aufsichtsbehörde die Reaktion des Unternehmens als bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß. Gleichwohl verhängte die Aufsichtsbehörde ein Bußgeld in Höhe von sage und schreibe 35.258.707,95 €.

Der Fall dokumentiere eine schwere Missachtung des Beschäftigtendatenschutzes am H&M-Standort Nürnberg. Das verhängte Bußgeld sei dementsprechend in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.

Auswirkung auf die Praxis

Das System der Rechtsbehelfe, der Haftung und der Sanktionen, das die Datenschutz-Grundverordnung in ihren Art. 77 bis 84 vorsieht, ist ein scharfes und nicht zu unterschätzendes Schwert. Nach Art. 83 DSGVO können bei Verstößen gegen Datenschutzrecht durch Unternehmen Geldbußen von bis zu 20 Millionen Euro oder 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. Die Geldbuße soll in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein.

Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, ist ein besonders intensiver Eingriff in die Rechte der Beschäftigten.

Art. 5 DSGVO schreibt für die Datenerhebung und Datenverarbeitung unter anderem zwingend Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung und Datenminimierung vor. Für Jäger, Sammler, Glücksritter und Hasardeure ist das Datenschutzrecht spätestens seit dem Inkrafttreten der DSGVO am 25.05.2018 ein Minenfeld. Der Bußgeldbescheid aus Hamburg sollte nicht nur für große Unternehmen Anlass sein, die eigenen Datenbestände zu überprüfen und nach vergessenen datenschutzrechtlichen Leichen im Keller zu fahnden.

 

© RA Stefan Loebisch | Kontakt