35,3 Millionen EUR Bußgeld lautet der Bußgeldbescheid, der H&M mit Sitz in Hamburg erreichte. Das bisher höchste Bußgeld in Deutschland seit Einführung der Datenschutzgrundverordnung (DSGVO). Vorgeworfen wird der Firma eine seit dem Jahr 2014 andauernde Ausspähung privater Lebensumstände durch die Center-Leitung mittels illegaler Überwachung.
Was ist passiert?
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) stellte fest, dass nach Urlaubs- und Krankheitsabwesenheiten „Welcome Back Talks“ stattfanden. Die vorgesetzten Teamleader zeichneten nicht nur konkrete Urlaubserlebnisse der Beschäftigten auf, sondern auch Krankheitssymptome und etwaige Diagnosen. Daraufhin waren die Erkenntnisse für bis zu 50 weitere Führungskräfte im ganzen Haus lesbar und detailliert fortgeschrieben.
Wie wurden diese privaten Informationen genutzt?
Nach den Gesprächen mit den Vorgesetzten wurden in etlichen Fällen die so erhobenen Daten als Basis dafür genutzt, ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erstellen. Im Zuge der Überwachung nahmen die Vorgesetzten eine akribische Auswertung der individuellen Arbeitsleistung vor. Die Bandbreite reichte von eher harmlosen Details bis zu familiären Problemen, sowie religiösen Bekenntnissen. Der Austausch höchst sensiblen Wissens über das Privatleben ihrer Mitarbeiter wurde zwischen den Vorgesetzten auch in diversen Einzel- und Flurgesprächen geteilt.
Wie trat der Vorfall zu Tage?
Man entdeckte das Vorgehen durch entsprechende Notizen, die infolge eines Konfigurationsfehlers im Oktober 2019 für einige Stunden unternehmensweit zugreifbar waren. Nachdem diverse Presseberichte über diesen Vorfall geschrieben hatten, ordnete die Hamburgische Behörde an, den Inhalt des Netzlaufwerks vollständig „einzufrieren“ und verlangte dann die Herausgabe. Es kam zur Auswertung eines Datensatzes der Überwachung von rund 60 Gigabyte sowie zur Vernehmung zahlreicher Zeuginnen und Zeugen. Dadurch deckte man die Überwachungspraktiken auf.
Wie bewertete die Datenschutzbehörde dieses Vorgehen?
Durch die Kombination von höchst sensiblen Daten, die systematische Ausforschung des Privatlebens und die fortlaufende Erfassung und Überwachung kam es zu einem besonders intensiven Eingriff in die Rechte und den Schutz der Betroffenen. Zur Aufarbeitung dieses massiven Vertrauensbruchs stimmte die Unternehmensleitung der Auszahlung eines Schadenersatzes in beachtlicher Höhe an die betroffenen Beschäftigten zu.
Was bedeutet das für Sie?
Die Verletzung der Privatsphäre der angestellten Beschäftigten stellt eine schwere Missachtung des Beschäftigtendatenschutzes dar und begründet ein Bußgeld, das das bis dato höchste Bußgeld etwa um das Dreifache übersteigt (siehe Fall Deutsche Wohnen November 2019).
Interessant: Die monierte Überwachung spielte sich im H&M Servicecenter in Nürnberg ab. Es betraf also eigentlich nur einen von vielen H&M-Standorten in Deutschland. Dennoch wurde für die Kalkulation des Bußgeldes der Konzernumsatz der H&M-Gruppe zugrunde gelegt. Bußgelder sollen mit Einführung der DGSVO nicht nur „angemessen“ und „verhältnismäßig“, sondern im Einzelfall auch immer „abschreckend“ sein. Dieses Beispiel zeigt, dass gerade in komplexen Konzernstrukturen nur ein strukturiert kontrollierter Datenschutz zuverlässig vor Einzelgängen wie in diesem Fall schützen kann.
Wie wir Sie unterstützen können
Bereits seit einigen Jahren betreuen wir Unternehmen mit Konzernstrukturen, die Tochterunternehmen oder ausländische Niederlassungen betreiben. Gerne unterstützen wir Sie beim Aufbau eines konzernweiten Datenschutzes, der Sie zuverlässig schützt, Ihnen Überblick verschafft und das Datenschutzniveau vereinheitlicht.
Ihre To-Dos:
Sie betreiben ein Unternehmen mit komplex-verwobenen Strukturen und haben das Gefühl, nicht zu wissen, ob alle Standorte die Anforderungen der DSGVO erfüllen? Gerne stellen wir Ihnen auf Anfrage unsere Checkliste „Konzern-Datenschutz nach DSGVO“ zur Verfügung und gehen mit Ihnen die wichtigsten Aspekte eines organisierten Datenschutzmanagementsystems durch. Wir prüfen dazu für jeden Standort, ob ein Datenschutzbeauftragter (DSB) zu bestellen ist, erfassen Ihren Status-Quo und machen für Sie transparent, welches lokale (nationale) Datenschutzrecht für welches Teilunternehmen zusätzlich anzuwenden ist.
Sie haben weitere Fragen zum Beschäftigtendatenschutz, Bußgeldern, Mitarbeiterüberwachung, DSGVO oder sehen Handlungsbedarf in einem anderen der genannten Felder? Dann kontaktieren Sie uns mit Ihrem Anliegen unkompliziert per Mail oder wenden sich telefonisch an uns.
Ihr entplexit Datenschutz Team
E-Mail: datenschutz@entplexit.com