Ende Januar 2020 eröffnete der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit gegen die bekannte Modekette H&M ein Bußgeldverfahren wegen Verstöße gegen den Beschäftigtendatenschutz. Nach umfangreichen Ermittlungen verhängte er nun gegen das Modehaus wegen der jahrelangen schwerwiegenden strukturellen Missachtung des Beschäftigtendatenschutzes das bisher höchste deutsche Bußgeld in Höhe von über 35 Millionen Euro.

Das Wichtigste in Kürze

  • Mitarbeiter des Unternehmens am Standort Nürnberg sammelten bei Gesprächen mit ihren Angestellten in großem Umfang private Informationen über diese.
  • Die umfangreichen Datensätze mit detaillierten Informationen zum Gesundheitszustand und Beziehungsleben der Mitarbeiter existierten spätestens seit 2014 und waren bis zu deren Entdeckung im Oktober 2019 bis zu 50 Führungskräften zugänglich.
  • Die betroffenen Mitarbeiter hatten keine Kenntnis davon, dass diese Daten gesammelt wurden.
  • Durch einen Konfigurationsfehler war der Ordner im Oktober 2019 einige Stunden lang für alle Mitarbeiter der Modekette zugänglich und wurde von dabei von einigen Mitarbeitern zufällig entdeckt.
  • Das Unternehmen hat sich im Zuge der Ermittlungen offen zu dem Datenschutzverstoß bekannt, eine Reihe zentraler Abhilfemaßnahmen ergriffen, sich bei den betroffenen Mitarbeitern entschuldigt und diesen eine finanzielle Kompensation für die Verletzung ihrer Privatsphäre zugesagt.
  • Zur Abschreckung verhängte die Aufsichtsbehörde Hamburg wegen der massiven Verletzung der Privatsphäre der Mitarbeiter dennoch ein Bußgeld in Höhe von 35.258.707,95 Euro gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG.

Jahrelange Sammlung umfangreicher Datensätze über Mitarbeiter

Beim Servicecenter der Modekette am Standort Nürnberg kam es über Jahre hinweg zu einer detaillierten Erfassung der privaten Lebensumstände der beschäftigten Mitarbeiter. Die Informationen stammten aus Welcome-Back-Talks nach dem Urlaub oder überstandener Krankheit sowie Einzel- und Flurgesprächen. In diesen Gesprächen eigneten sich die Vorgesetzten ein breites Wissen über das Privatleben ihrer Angestellten an, das von eher belanglosen Kleinigkeiten über familiären Probleme bis hin zu religiösen Bekenntnissen und Krankengeschichten reichte. All diese Informationen wurden – ohne das Wissen der Mitarbeiter – in Gesprächsnotizen in einem Dateiordner auf dem Netzlaufwerk gespeichert. Bei den betreffenden Daten handelt es sich um personenbezogene Daten im Sinne der DS-GVO, wobei Gesundheits- und Religionsdaten nach Art. 9 DS-GVO als besonders sensibel und schützenswert gelten und nur in wenigen Ausnahmefällen verarbeitet werden dürfen.

Das Unternehmen rechtfertigte die Speicherung der Daten anfangs damit, dass diese zur besseren Planung der Arbeitsschichten benötigt würden. Diese Argumentation hielt aber nicht sehr lange an, denn im Rahmen der Ermittlungen von der zuständigen Aufsichtsbehörde stellte sich sehr schnell heraus, dass das Ausspionieren der Mitarbeiter in diesem Umfang nicht erforderlich ist, um einen Schichtplan zu erstellen. Erschwerend hinzukommt, dass die heimlich erhobenen Daten akribisch ausgewertet und mit der individuellen Arbeitsleistung der jeweiligen Mitarbeiter kombiniert wurden. Dadurch entstand ein Profil der Beschäftigten, das verschiedenen Maßnahmen und Entscheidungen im Arbeitsverhältnis zugrunde gelegt wurde.

Reaktion der Aufsichtsbehörde

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit wurde durch Berichte der Presse über die Mitarbeiter-Spionage auf den Vorfall aufmerksam. Er ordnete umgehend an, dass der Inhalt des betroffenen Laufwerks vollständig eingefroren wird. Anschließend verlangte er die Herausgabe des gesamten Materials.

Mehr Informationen zur Aufsichtsbehörde und ihren Rechten

Ausführliche Erklärungen zu den Aufgaben und verschiedenen Handlungs- und Sanktionsmöglichkeiten der Datenschutzaufsicht finden Sie in unsrem Datenschutz-ABC beim Begriff „Aufsichtsbehörde“.

Das Unternehmen kam der Aufforderung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit nach und legte ihm einen Datensatz von rund 60 Gigabyte zur Auswertung vor. Anschließend analysierte die Aufsichtsbehörde das Material und ließ sich die dokumentierten Praktiken von zahlreichen Zeuginnen und Zeugen bestätigten.

Abhilfemaßnahmen des Unternehmens zur Schadensbegrenzung

Die Aufdeckung der erheblichen Verstöße hat die Verantwortlichen zur Ergreifung verschiedener Abhilfemaßnahmen veranlasst. Er kooperierte mit dem Hamburgische Beauftragte für Datenschutz und Informationsfreiheit und legte ein umfassendes Konzept vor, damit von nun an am Standort Nürnberg Datenschutz umgesetzt werden soll. Unter anderem wurden folgende Maßnahmen ergriffen:

Es gab nicht nur in der Führungsebene personelle Veränderungen, sondern es wurde auch ein neuer Datenschutzkoordinator benannt. Parallel dazu wurden alle Führungskräfte im Bereich Datenschutz und Arbeitsrecht geschult.

Es wurden neuen Rollen mit spezifischen Zuständigkeiten für die Prüfung. Nachverfolgung, Schulung und kontinuierliche Verbesserung von Datenschutzprozessen eingeführt. Zeitgleich wurden IT-Lösungen verbessert, um so die Bedeutung der Speicherung persönlicher Informationen sowie erforderliche Schulungen und Leitungspositionen zu betonen. Zudem wurden auch die betrieblichen Prozesse angepasst, um eine zuverlässige Bereinigung von personenbezogenen Daten gewährleisten zu können.

Der Datenschutz ist eine Daueraufgabe. Die verschiedenen Pflichten der DS-GVO sind komplex und erfordern neben internen Prozessen auch regelmäßige Kontrollen und eine kontinuierliche Fortentwicklung. Diese sollten künftig durch monatliche Datenschutz-Statusupdates sichergestellt werden.

Die Modekette H & M stellt seinen Mitarbeitern einen Berichterstattungskanal zur Verfügung, über den sie schwerwiegende Unzulänglichkeiten (wie z.B. Buchhaltungs- und Bestechungsverbrechen oder Datenschutzverstöße) innerhalb des Unternehmens melden können. Zum Schutz der sog. Whistleblower existiert auch eine eigene Whistleblower-Richtlinie mit umfassenden Regelungen zur Vertraulichkeit und Behandlung von Vorfällen. Diese werden intern stärker kommuniziert, um Mitarbeiter zu ermutigen Datenschutzverletzungen zu melden.

Jeder Person, deren persönliche Informationen verarbeitet werden, steht nach Art. 15 DS-GVO ein umfangreiches Auskunftsrecht zu. Da Arbeitgeber eine Reihe personenbezogener Daten von Angestellten im Arbeitsverhältnis verarbeiten, haben auch Arbeitnehmer das Recht, eine Datenauskunft von ihrem Arbeitgeber zu erhalten. Um solche Auskunftsersuchen besser bearbeiten zu können, wurde ein konsistentes Auskunfts-Konzept aufgestellt.

Zu guter Letzt hat sich die Unternehmensleitung in aller Form über mehrere Kanäle bei den betroffenen Mitarbeitern für die gemachten Fehler entschuldigt. Zur Aufarbeitung der vergangenen Geschehnisse hat die Unternehmensleitung hat auch die Anregung der Aufsichtsbehörde aufgegriffen, den Beschäftigten einen unbürokratischen Schadenersatz in beachtlicher Höhe auszuzahlen. Grundsätzlich gewährt auch die DS-GVO allen Betroffenen einen Schadenersatzanspruch, wenn ihre persönlichen Daten gegen die Vorgaben der DS-GVO verarbeitet werden. Unternehmen müssen dann nicht nur den materiellen Schaden ersetzen, sondern auch eine Art Schmerzensgeld für die Verletzung der Privatsphäre zahlen.

Die Unternehmensleitung von H&M hat beschlossen, dass alle derzeit im Servicezentrum Nürnberg Beschäftigten und alle, die seit Inkrafttreten der DSGVO im Mai 2018 für mindestens einen Monat angestellt waren, eine finanzielle Entschädigung erhalten. Den Mitarbeitern bleibt damit eine Durchsetzung dieses Rechts vor Gericht erspart.

Wertung der Aufsichtsbehörde

Die Aufsichtsbehörde wertete die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit die Mitarbeiter jeweils nachgingen als besonders intensiven Eingriff in die Rechte der Betroffenen. Die Bemühungen des Unternehmens zur Schadensaufarbeitung, Kompensation und zukünftigen Verhinderung wurden vom Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit explizit als bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß anerkannt.

Die ergriffenen Maßnahmen der Konzernleitung, insbesondere die transparente Aufklärung und die Bemühungen, Betroffene vor Ort zu entschädigen sind zwar positiv als Zeichen des Respekts und der Wertschätzung der Mitarbeiter zu werten, reichen aber aufgrund der massiven Eingriffe in die Privatsphäre der Mitarbeiter nicht aus. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Herr Prof. Dr. Johannes Caspar stellte deshalb klar, dass der vorliegende Fall eine schwere Missachtung des Beschäftigtendatenschutzes dokumentiert und mit einem Bußgeld zu sanktioniert werden muss, dessen Höhe angemessen und geeignet ist, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.