Sie haben folgende Möglichkeiten:
  1. zum Login.
  2. zur Navigation.
  3. zum Inhalt der Seite.

Prof. Dr. Johannes Caspar: Rechtswidrig gesammelte Mitarbeiterdaten waren aufgrund eines Konfigurationsfehlers über ein Netzlaufwerk einige Stunden lang unternehmensweit abrufbar (Foto: anyaberkut/Fotolia.com)
Verstoß gegen Datenschutz

Datenschutzbeauftragter von Hamburg verhängt Rekordbußgeld gegen H&M

ESV-Redaktion Recht
05.10.2020
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) in Hamburg, Prof. Dr. Johannes Caspar, hat gegen das Modeunternehmen H&M ein Bußgeld von etwa 35 Millionen Euro verhängt. Soweit ersichtlich, ist dies ein Rekordbußgeld. Dies teilte die Datenschutzbehörde in einer aktuellen Pressemeldung mit.
Hintergrund des Bußgeldbescheides sind Verstöße bei einem Service-Center von H&M in Nürnberg. Dort soll es bei einem Teil der Beschäftigten zu umfangreichen Erfassungen von privaten Lebensumständen gekommen sein. So sollen vorgesetzte Teamleader bei Mitarbeitern einen sogenannten „Welcome Back Talk“ nach Urlaubs- und Krankheitsabwesenheiten durchgeführt haben.

Im Anschluss an diese Gespräche seien vielfach unter anderem Krankheitssymptome der Beschäftigten und Diagnosen festgehalten worden. Darüber hinaus sollen einige Vorgesetzte in Einzel- und Flurgesprächen ein breites Wissen über das Privatleben ihrer Mitarbeitenden gesammelt haben. Das Wissensspektrum reichte von harmlosen Details bis zu familiären Problemen und religiösen Bekenntnissen. Die Datenschutzverstöße im Kern:

Aufzeichnung der gewonnen Erkenntnisse

Zum Teil sollen die gewonnenen Erkenntnisse aufgezeichnet und digital gespeichert worden sein. Zeitweise waren diese im ganzen Haus abrufbar.

Der kostenlose Newsletter Recht - Hier können Sie sich anmelden!
Redaktionelle Nachrichten zu neuen Entscheidungen und Rechtsentwicklungen, Interviews und Literaturtipps.

Erstellung von Profilen

Die erhobenen Daten wurden unter anderem zur Auswertung der individuellen Arbeitsleistung genutzt, aber auch, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten. Die Kombination aus Ausforschung des Privatlebens und der laufenden Erfassung der jeweiligen Tätigkeit der Mitarbeiter führte nach Auffassung der Datenschützer zu einem besonders intensiven Eingriff in die Rechte der Betroffenen.

Bekannt wurde die Datenerhebung im Oktober 2019 dadurch, dass wegen eines Konfigurationsfehlers über ein Netzlaufwerk für einige Stunden unternehmensweit auf die angelegten Notizen zugegriffen werden konnte.

Nachdem Caspar über Presseberichte hiervon erfuhr, ordnete er zunächst an, den Inhalt des Netzlaufwerks vollständig einzufrieren und verlangte die Herausgabe der aufgezeichneten Daten. H&M legte Caspar daraufhin einen Datensatz von rund 60 Gigabyte zur Auswertung vor. Nach Analyse der Daten wurden die dokumentierten Praktiken durch Vernehmungen zahlreicher Zeugen bestätigt.


H&M legt neues Datenschutzkonzept vor

Wie die Datenschutzbehörde weiter mitteilt, hat die Aufdeckung der Verstöße die Verantwortlichen von H&M dazu veranlasst, verschiedene Maßnahmen zur Abhilfe zu ergreifen. Sie legten dem HmbBfDI ein Konzept vor, nach dem am Standort Nürnberg der Datenschutz umgesetzt werden soll. Bausteine dieses Datenschutzkonzepts sind unter anderem:

  • ein neu berufener Datenschutzkoordinator,
  • monatliche Datenschutz-Statusupdates,
  • ein verstärkt kommunizierter Whistleblower-Schutz
  • und ein konsistentes Auskunfts-Konzept.

Darüber hinaus hat H&M in einem eigenen Statement weitere Maßnahmen angekündigt, wie etwa:

  • personelle Veränderungen auf der Führungsebene im Service Center in Nürnberg,
  • zusätzliche Schulungen für Führungskräfte zu den Themen Datenschutz und Arbeitsrecht,
  • sowie überarbeitete Beschreibungen zum Datenschutz für HR-Zwecke.
Zur Aufarbeitung der Vorgänge Geschehnisses hat sich die Unternehmensleitung ausdrücklich bei den Betroffenen entschuldigt. Zudem folgte sie einer Anregung, den Beschäftigten einen Schadenersatz zu leisten. So sollen alle Beschäftigten des Servicezentrums und alle, die seit Inkrafttreten der DSGVO für mindestens einen Monat angestellt waren, eine finanzielle Entschädigung erhalten. Zu einer Entschädigung ist das Unternehmen allerdings nach Art. 82 DSGVO ohnehin verpflichtet.


Caspar: Bußgeld angemessen und abschreckend

Der Hamburgische Datenschutzbeauftragte, Prof. Dr. Johannes Caspar, teilte hierzu mit:

„Der vorliegende Fall dokumentiert eine schwere Missachtung des Beschäftigtendatenschutzes am H&M-Standort Nürnberg. Das verhängte Bußgeld ist dementsprechend in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken“.

Darüber hinaus bewerte Caspar die Absicht der Konzernleitung, die Betroffenen zu entschädigen und das Vertrauen in das Unternehmen als Arbeitgeber wiederherzustellen, positiv. Caspar hierzu weiter:

„Die transparente Aufklärung seitens der Verantwortlichen und die Gewährleistung einer finanziellen Kompensation zeigen durchaus den Willen, den Betroffenen den Respekt und die Wertschätzung zukommen zu lassen, die sie als abhängig Beschäftigte in ihrem täglichen Einsatz für ihr Unternehmen verdienen.“

Die Zuständigkeit des HmbBfDI ergibt sich daraus, dass das betroffene Unternehmen H&M Deutschland seinen Sitz in Hamburg hat. Die Entscheidung ist jedoch noch nicht rechtskräftig. So will H&M laut seiner eigenen Pressemeldung den Beschluss der Aufsichtsbehörde sorgfältig prüfen.

Quellen:



DATENSCHUTZdigital

Dr. Hans-Jürgen Schaffland, Gabriele Holthaus, Dr. Astrid Schaffland

Die Entwicklung des Datenschutzrechts ist dynamisch wie die sie prägenden Technologien. Laufend aktuell ergänzt, hält Sie DATENSCHUTZdigital konsequent auf neuestem Stand. EU-, Bundes- und Landesdatenschutzrecht systematisch integriert finden Sie insbesondere

  • eine vollständige Kommentierung der DS-GVO und des BDSG (neu) für alle typischen Konstellationen in der Praxis,
  • eine einschlägige Regelungstexte der Landesdatenschutzgesetze sowie vom BDSG tangierter Gesetze.
Neben einer leicht verständlichen Synopse zu bisherigem und neuem Recht finden Sie auch Beertungen zu Auswirkungen der DS-GVO auf die Rechtslage – unter Beachtung des BDSG (neu). Innerhalb der DS-GVO-Erläuterungen werden neues Recht und die bisherige Rechtslage übersichtlich gespiegelt.

 

Verlagsprogramm Weitere Nachrichten aus dem Bereich Recht

Auch interessant

18.11.2020
LG Bonn reduziert Millionenbußgeld gegen TK-Dienstleister auf 900.000 Euro
Nationale Datenschutzbehörden können bestimmte Datenschutzverstöße mit Bußgeldern ahnden. Demgemäß hatte der Bundesbeauftragte für Datenschutz und Informationsfreiheit (BfDI) gegen den TK-Dienstleister „1&1“ ein Bußgeld von 9,55 Mio. Euro verhängt. Zu hoch, wie das LG Bonn befand. mehr …

(ESV/bp)

Programmbereich: Wirtschaftsrecht