Der Hamburger Datenschutzbeauftragte hat in der letzten Woche das in Deutschland bisher höchste Bußgeld erlassen. Das Modeunternehmen H&M soll 35 Millionen Euro Bußgeld für einen Datenschutzverstoß zahlen.

Sachverhalt

H&M betreibt ein Unternehmen als Servicecenter mit Sitz in Hamburg. Dieses Unternehmen hat jedoch einen Standort in Nürnberg, wo der Datenschutzverstoß auch begangen wurde. Da der Unternehmenssitz jedoch in Hamburg liegt, ist der Hamburger Datenschutzbeauftragte verantwortlich.

Am Standort Nürnberg arbeiten mehrere hundert Mitarbeiter, für die Serviceabteilung von H&M. Der Vorfall wurde an sich erst durch einen Konfigurationsfehler bei einem Laufwerk erkannt, wodurch das gesamte Unternehmen Einblick auf das Laufwerk hatte. Hierin liegt jedoch noch nicht der sanktionierte Verstoß. Viel interessanter war, was auf dem Laufwerk zu finden war. Darauf befanden sich detaillierte Informationen über Mitarbeiter des Standorts, die teilweise schon seit 2014 gesammelt wurden. Es handelt sich dabei um Informationen zu privaten Lebensumständen, welche Führungskräfte zum Teil direkt bei den Mitarbeitern erfragt haben oder aber auch nur aus Gerüchten in der Belegschaft aufgeschnappt haben. Dazu gehören auch Informationen wie religiöse Bekenntnisse, familiäre Umstände oder gesundheitliche Beeinträchtigungen. Teilweise wurden Mitarbeiter nach längerer Krankheit oder Urlaub auch zu sogenannten „Welcome Back Talks“ eingeladen, um Sie hierzu zu befragen. Alle Informationen wurden auf dem Laufwerk gesammelt, auf welches bis zu 50 Führungskräfte Zugriff hatten.

Mit einer Handlungsanweisung beschloss die Hamburger Datenschutzaufsicht schließlich, dass das Laufwerk herausgegeben werden muss und untersuchte es gründlich. Der Verdacht auf die Tätigkeiten des Unternehmens konnte daraufhin bestätigt werden.

Die Strafe

Dass die gesammelten Daten auf keinen Fall gem. § 26 BDSG zur Durchführung des Arbeitsverhältnisses notwendig sind, sollte allgemein klar sein. Die persönlichen und privaten Umstände seiner Beschäftigten sind für den Arbeitgeber tabu. Die Daten können dazu genutzt werden, um Mitarbeiter erheblich unter Druck zu setzen.  Ein Verstoß gegen den Datenschutz war damit indiskutabel.

Das wusste auch H&M und reagierte, um das Bußgeld möglichst gering zu halten. H&M entschuldigte sich bei der Belegschaft und kündigte an den betroffenen Mitarbeitern einen „unbürokratischen Schadensersatz in beachtlicher Höhe“ auszuzahlen.

Der Höhe des Bußgelds nach, scheint die Aufsichtsbehörde diese späte Reue wenig interessiert zu haben. Dies lässt sich aber durchaus auch mit der Schwere des Verstoßes begründen:

• Die Daten wurden über einen langen Zeitraum erhoben.
• Sie weisen einen hohen Detailgrad an persönlichen Informationen auf.
• Die Mitarbeiter waren ahnungslos, was die Datensammlung angeht.
• Die Daten wurden genutzt, um Profile von den Mitarbeitern zu erstellen, aufgrund derer auch Entscheidungen zu deren beruflicher Zukunft im Unternehmen getroffen wurden.

Insgesamt stellt der Verstoß damit einen schwerwiegenden Eingriff in die Persönlichkeitsrechte der Betroffenen dar.  Aufgrund dessen sieht der Hamburger Datenschutzbeauftragte Dr. Johannes Caspar das Bußgeld auch als „in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen ihrer Privatsphäre abzuschrecken“ an.

Das Bußgeld ist bisher noch nicht rechtskräftig. Wenn H&M noch Einspruch einlegen sollte, dann wahrscheinlich nicht, weil das Unternehmen bestreitet einen Datenschutzverstoß begangen zu haben, sondern eher, weil man die Höhe des Bußgelds als unangemessen betrachtet.

Letztlich lässt sich sagen, dass der Verstoß hier unbestreitbar ist und es in der heutigen Zeit auch ziemlich plump und altmodisch erscheint, seine Mitarbeiter auf diese Art und Weise auszuspionieren. Über die Höhe des Bußgelds lässt sich sicherlich streiten, in dieser Höhe hat es aber jedenfalls eine enorme Signalwirkung.