Kanzlei Dr. Bahr
Navigation
Kategorie: Onlinerecht

Hamburgischer Datenschutzbeauftragter: 35,3 Mio. EUR Bußgeld gegen H&M wegen massiver DSGVO-Verstöße

Wie der Hamburgischer Datenschutzbeauftragter in einer Pressemitteilung erklärt, hat er wegen massiver DSGVO-Verstöße gegen das bekannte Textilhandelsunternehmen H&M ein Bußgeld iHv. 35,3 Mio. EUR verhängt.

Nach den Ermittlungen der Behörde hat das Unternehmen seit 2014 massiv private Daten seine Mitarbeiter erfasst und diese für geschäftliche Zwecke verwendet. Dabei wurden auch besonders schützenswerte Krankheitsdaten gespeichert und verwendet:

"Die Gesellschaft mit Sitz in Hamburg betreibt ein Servicecenter in Nürnberg.

Mindestens seit dem Jahr 2014 kam es bei einem Teil der Beschäftigten zu umfangreichen Erfassungen privater Lebensumstände. Entsprechende Notizen wurden auf einem Netzlaufwerk dauerhaft gespeichert. Nach Urlaubs- und Krankheitsabwesenheiten – auch kurzer Art – führten die vorgesetzten Teamleader einen sogenannten Welcome Back Talk durch. Nach diesen Gesprächen wurden in etlichen Fällen nicht nur konkrete Urlaubserlebnisse der Beschäftigten festgehalten, sondern auch Krankheitssymptome und Diagnosen. Zusätzlich eigneten sich einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden an, das von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen reichte.

Die Erkenntnisse wurden teilweise aufgezeichnet, digital gespeichert und waren mitunter für bis zu 50 weitere Führungskräfte im ganzen Haus lesbar. Die Aufzeichnungen wurden bisweilen mit einem hohen Detailgrad vorgenommen und im zeitlichen Verlauf fortgeschrieben. Die so erhobenen Daten wurden neben einer akribischen Auswertung der individuellen Arbeitsleistung u.a. genutzt, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten. Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte zu einem besonders intensiven Eingriff in die Rechte der Betroffenen."

Die so gespeicherten Informationen hatten einen Umfang von 60 GB:

"Bekannt wurde die Datenerhebung dadurch, dass die Notizen infolge eines Konfigurationsfehlers im Oktober 2019 für einige Stunden unternehmensweit zugreifbar waren. Nachdem der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit über die Datensammlung durch Presseberichte informiert wurde, ordnete er zunächst an, den Inhalt des Netzlaufwerks vollständig „einzufrieren“ und verlangte dann die Herausgabe. Das Unternehmen kam dem nach und legte einen Datensatz von rund 60 Gigabyte zur Auswertung vor. Vernehmungen zahlreicher Zeuginnen und Zeugen bestätigten nach Analyse der Daten die dokumentierten Praktiken."

Nach Aufdeckung der Gesetzesverstöße, so die Behörde, reagierte das Unternehmen umfassend und führte auch einen finanziellen Ausgleich der geschädigten Mitarbeiter durch:

"Die Aufdeckung der erheblichen Verstöße hat die Verantwortlichen zur Ergreifung verschiedener Abhilfemaßnahmen veranlasst.

Dem HmbBfDI wurde ein umfassendes Konzept vorgelegt, wie von nun an am Standort Nürnberg Datenschutz umgesetzt werden soll. Zur Aufarbeitung der vergangenen Geschehnisse hat sich die Unternehmensleitung nicht nur ausdrücklich bei den Betroffenen entschuldigt. Sie folgt auch der Anregung, den Beschäftigten einen unbürokratischen Schadenersatz in beachtlicher Höhe auszuzahlen.

Es handelt sich insoweit um ein bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß. Weitere Bausteine des neu eingeführten Datenschutzkonzepts sind unter anderem ein neu berufener Datenschutzkoordinator, monatliche Datenschutz-Statusupdates, ein verstärkt kommunizierter Whistleblower-Schutz sowie ein konsistentes Auskunfts-Konzept."

Rechts-News durch­suchen

04. Dezember 2024
Die DSGVO-Informationspflicht-Ausnahme nach Art. 14 Abs. 5 gilt auch für selbst erzeugte personenbezogene Daten.
ganzen Text lesen
03. Dezember 2024
Eine Datenschutzbehörde darf Maßnahmen nur ergreifen, wenn der Verantwortliche für einen Datenschutzverstoß eindeutig feststellbar ist.
ganzen Text lesen
02. Dezember 2024
Die Nutzung von Adressdaten eines Kunden für Briefwerbung ist nach der DSGVO grundsätzlich zulässig, solange keine überwiegenden Interessen des…
ganzen Text lesen
19. November 2024
Der BGH hat entschieden, dass ein bloßer Kontrollverlust über persönliche Daten nach der DSGVO einen immateriellen Schaden begründen kann.
ganzen Text lesen

Rechts-News durchsuchen