DSGVO-Verstöße: 35,3 Millionen Euro Bußgeld für H&M

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit

Verletztes Recht: Art. 6 Abs. 1 DSGVO

Das Bußgeld wurde aufgrund der Überwachung von mehreren hundert Mitarbeiterinnen und Mitarbeitern des H&M Servicecenters in Nürnberg durch die Center-Leitung erlassen.

 

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat am 01. Oktober 2020 in einer Pressemitteilung bekannt gegeben, dass mindestens seit 2014 private Lebensumstände der Beschäftigten des Service Centers von H&M umfangreich erfasst und auf einem Laufwerk dauerhaft gespeichert wurden.

Durch „Welcome Back Talks” nach Urlaubs- und Krankheitsabwesenheiten oder über Einzel- und Flurgespräche erlangten einige Vorgesetzte ein breites Wissen über das Privatleben ihrer Mitarbeitenden, das von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen reichte. Die Daten wurden teilweise aufgezeichnet und waren für bis zu 50 Führungskräfte abrufbar. Diese wurden zusammen mit der akribischen Auswertung der individuellen Arbeitsleistung genutzt, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten.

Dem Unternehmen wurde positiv angerechnet, dass ein umfassendes Konzept vorgelegt wurde, wie von nun an am Standort Nürnberg Datenschutz umgesetzt werden soll.

 H&M hat eine Reihe von Maßnahmen durchgeführt, dazu zählen:

·         Personelle Veränderungen auf Führungsebene im Service Center in Nürnberg.

·         Zusätzliche Schulungen von Mitarbeitern und für Führungskräfte zu den Themen Datenschutz und Arbeitsrecht.

·         Überarbeitete Beschreibungen zum Datenschutz für HR-Zwecke.

·         Einrichtung einer neuen Rolle mit spezifischen Zuständigkeiten für die Prüfung. Nachverfolgung,
          Schulung und kontinuierliche Verbesserung von Datenschutzprozessen.

·         Verbesserte Prozesse zur Bereinigung der personenbezogenen Daten.

·         Verbesserte IT-Lösungen, mit denen die Bedeutung der Speicherung personenbezogener Daten      
          sowie von Schulungen und Leitungspositionen betont werden.

Darüber hinaus soll den Beschäftigten Schadensersatz in beachtlicher Höhe gezahlt werden.

Prof. Dr. Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit ist der Auffassung, dass es sich sich insoweit um ein bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß handele.

H&M hat von einem Widerspruch gegen den Bußgeldbescheid abgesehen.

 

Quellen: Pressemitteilung H&M

             HmbBfDI

             NDR-Bericht