Ende Januar 2020 eröffnete der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit gegen die bekannte Modekette H&M ein Bußgeldverfahren wegen Verstöße gegen den Beschäftigtendatenschutz. Nach umfangreichen Ermittlungen verhängte er nun gegen das Modehaus wegen der jahrelangen schwerwiegenden strukturellen Missachtung des Beschäftigtendatenschutzes das bisher höchste deutsche Bußgeld in Höhe von über 35 Millionen Euro.
Das Wichtigste in Kürze
- Mitarbeiter des Unternehmens am Standort Nürnberg sammelten bei Gesprächen mit ihren Angestellten in großem Umfang private Informationen über diese.
- Die umfangreichen Datensätze mit detaillierten Informationen zum Gesundheitszustand und Beziehungsleben der Mitarbeiter existierten spätestens seit 2014 und waren bis zu deren Entdeckung im Oktober 2019 bis zu 50 Führungskräften zugänglich.
- Die betroffenen Mitarbeiter hatten keine Kenntnis davon, dass diese Daten gesammelt wurden.
- Durch einen Konfigurationsfehler war der Ordner im Oktober 2019 einige Stunden lang für alle Mitarbeiter der Modekette zugänglich und wurde von dabei von einigen Mitarbeitern zufällig entdeckt.
- Das Unternehmen hat sich im Zuge der Ermittlungen offen zu dem Datenschutzverstoß bekannt, eine Reihe zentraler Abhilfemaßnahmen ergriffen, sich bei den betroffenen Mitarbeitern entschuldigt und diesen eine finanzielle Kompensation für die Verletzung ihrer Privatsphäre zugesagt.
- Zur Abschreckung verhängte die Aufsichtsbehörde Hamburg wegen der massiven Verletzung der Privatsphäre der Mitarbeiter dennoch ein Bußgeld in Höhe von 35.258.707,95 Euro gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG.
Jahrelange Sammlung umfangreicher Datensätze über Mitarbeiter
Beim Servicecenter der Modekette am Standort Nürnberg kam es über Jahre hinweg zu einer detaillierten Erfassung der privaten Lebensumstände der beschäftigten Mitarbeiter. Die Informationen stammten aus Welcome-Back-Talks nach dem Urlaub oder überstandener Krankheit sowie Einzel- und Flurgesprächen. In diesen Gesprächen eigneten sich die Vorgesetzten ein breites Wissen über das Privatleben ihrer Angestellten an, das von eher belanglosen Kleinigkeiten über familiären Probleme bis hin zu religiösen Bekenntnissen und Krankengeschichten reichte. All diese Informationen wurden – ohne das Wissen der Mitarbeiter – in Gesprächsnotizen in einem Dateiordner auf dem Netzlaufwerk gespeichert. Bei den betreffenden Daten handelt es sich um personenbezogene Daten im Sinne der DS-GVO, wobei Gesundheits- und Religionsdaten nach Art. 9 DS-GVO als besonders sensibel und schützenswert gelten und nur in wenigen Ausnahmefällen verarbeitet werden dürfen.
Das Unternehmen rechtfertigte die Speicherung der Daten anfangs damit, dass diese zur besseren Planung der Arbeitsschichten benötigt würden. Diese Argumentation hielt aber nicht sehr lange an, denn im Rahmen der Ermittlungen von der zuständigen Aufsichtsbehörde stellte sich sehr schnell heraus, dass das Ausspionieren der Mitarbeiter in diesem Umfang nicht erforderlich ist, um einen Schichtplan zu erstellen. Erschwerend hinzukommt, dass die heimlich erhobenen Daten akribisch ausgewertet und mit der individuellen Arbeitsleistung der jeweiligen Mitarbeiter kombiniert wurden. Dadurch entstand ein Profil der Beschäftigten, das verschiedenen Maßnahmen und Entscheidungen im Arbeitsverhältnis zugrunde gelegt wurde.
Reaktion der Aufsichtsbehörde
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit wurde durch Berichte der Presse über die Mitarbeiter-Spionage auf den Vorfall aufmerksam. Er ordnete umgehend an, dass der Inhalt des betroffenen Laufwerks vollständig eingefroren wird. Anschließend verlangte er die Herausgabe des gesamten Materials.
Das Unternehmen kam der Aufforderung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit nach und legte ihm einen Datensatz von rund 60 Gigabyte zur Auswertung vor. Anschließend analysierte die Aufsichtsbehörde das Material und ließ sich die dokumentierten Praktiken von zahlreichen Zeuginnen und Zeugen bestätigten.
Abhilfemaßnahmen des Unternehmens zur Schadensbegrenzung
Die Aufdeckung der erheblichen Verstöße hat die Verantwortlichen zur Ergreifung verschiedener Abhilfemaßnahmen veranlasst. Er kooperierte mit dem Hamburgische Beauftragte für Datenschutz und Informationsfreiheit und legte ein umfassendes Konzept vor, damit von nun an am Standort Nürnberg Datenschutz umgesetzt werden soll. Unter anderem wurden folgende Maßnahmen ergriffen:
Wertung der Aufsichtsbehörde
Die Aufsichtsbehörde wertete die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit die Mitarbeiter jeweils nachgingen als besonders intensiven Eingriff in die Rechte der Betroffenen. Die Bemühungen des Unternehmens zur Schadensaufarbeitung, Kompensation und zukünftigen Verhinderung wurden vom Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit explizit als bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß anerkannt.
Die ergriffenen Maßnahmen der Konzernleitung, insbesondere die transparente Aufklärung und die Bemühungen, Betroffene vor Ort zu entschädigen sind zwar positiv als Zeichen des Respekts und der Wertschätzung der Mitarbeiter zu werten, reichen aber aufgrund der massiven Eingriffe in die Privatsphäre der Mitarbeiter nicht aus. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Herr Prof. Dr. Johannes Caspar stellte deshalb klar, dass der vorliegende Fall eine schwere Missachtung des Beschäftigtendatenschutzes dokumentiert und mit einem Bußgeld zu sanktioniert werden muss, dessen Höhe angemessen und geeignet ist, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.