Vergangene Woche sorgte die Modekette H&M für reges Aufsehen – Aber nicht etwa wegen seiner schicken Klamotten, sondern wegen schwerwiegenden Datenschutzverstößen! So soll H&M am Standort Nürnberg über Jahre hinweg das Privatleben von mehreren Hundert Mitarbeitern ausspioniert haben.
Und das blieb nicht ohne Folgen: 35,3 Millionen Euro Strafe! Damit erhält der Konzern das höchste Bußgeld in Deutschland seit Einführung der DSGVO.
Verhängnisvolle “Welcome Back Talks”
Am Standort Nürnberg arbeiten mehrere Hundert Angestellte und betreuen dort das Online- und Telefonbestellgeschäft. Neben regelmäßigen Mitarbeitergesprächen führten die Teamleiter, selbst nach kurzen Urlauben oder Krankständen, sogenannte “Welcome Back Talks” mit ihren Mitarbeitern. Eigentlich eine nette Idee – hätten sie dabei nicht höchst private Daten der Mitarbeiter ausspioniert!
So legten die Vorgesetzten über einen längeren Zeitraum detaillierte Profile von den Mitarbeitern an. Diese Aufzeichnungen enthielten neben harmlosen privaten Geschichten und Urlaubserlebnissen auch sensible Daten, wie familiäre Probleme, Krankheitssymptome, Diagnosen und religiöse Bekenntnisse. Die Mitarbeiter selber wussten allerdings nichts davon.
Mehr als 60 Gigabyte an geheimen Personaldaten
Zusätzlich eigneten sich einige Teamleiter über Small Talks am Flur oder in Einzelgesprächen ein breites Wissen über das Privatleben ihrer Mitarbeiter an. Die Gesprächsnotizen wurden teils digital in einem Dateiordner gespeichert und waren für rund 50 Führungskräfte im ganzen Haus verfügbar. Ergänzt wurden die Profile dann noch durch eine akribische Auswertung der individuellen Arbeitsleistung.
Die illegale Datensammlung flog auf, weil die Datei infolge einer technischen Panne für kurze Zeit für alle Mitarbeiter einsehbar war. Zahlreiche Medienberichte über die arbeits- und datenschutzrechtlich schlicht unglaublichen Vorgänge bei H&M ließen die Datenschutzbehörde aufhorchen. Diese verlangte daraufhin die Herausgabe der sage und schreibe 60 Gigabyte großen Personaldateien. Bei der Auswertung der Datensammlung und den nachfolgenden Zeugenanhörungen kamen erhebliche Verstöße gegen die DSGVO ans Licht.
Das Verhalten der Führungskräfte ist aber nicht nur in arbeitsrechtlicher, sondern auch datenschutzrechtlicher Hinsicht bedenklich. Denn die Informationen über das Privatleben und den Gesundheitszustand der Mitarbeiter sind personenbezogene Daten. Bei Letzterem handelt es sich sogar um sensible Daten und die bedürfen eigentlich einem noch größeren Schutz. Der Schutzbereich der DSGVO trifft hier also vollkommen zu, da die Informationen über die Mitarbeiter digital gespeichert wurden und deshalb auch eine automatisierte Datenverarbeitung stattfand.
Bußgeld “angemessen und geeignet”
Seit Einführung der DSGVO im Jahr 2018 wurden europaweit fast eine halbe Milliarde Euro an Bußgeldern wegen Datenschutzverstößen verhängt. Und das gegen H&M ausgesprochene Bußgeld ist das bislang höchste, das in Deutschland wegen Datenschutzverstößen verhängt wurde sowie das zweithöchste in ganz Europa. Der Hamburger Datenschützer Johannes Caspar sagte zu der ungewöhnlich hohen Strafe:
„Der vorliegende Fall dokumentiert eine schwere Missachtung des Beschäftigtendatenschutzes am H&M-Standort Nürnberg. Das verhängte Bußgeld ist dementsprechend in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.“
Auch kleinere Unternehmen können wegen DSGVO Verstößen bestraft werden
Für kleine Unternehmen gelten die gleichen DSGVO Regeln, wie für die großen Unternehmen. Die Behörden prüfen in jegliche Organisationen, ob mit den Daten richtig umgegangen wird. Dabei ist es egal, welche Größe das Unternehmen hat. Wertvolle Daten gibt es schließlich fast überall!
Die Geldstrafe kann bis zu 20 Mio. Euro bzw. 4 % des letztjährigen Umsatzes betragen. Nach Auskunft der Aufsichtsbehörden liegen die durchschnittlichen Bußgelder bei 10.000 bis 15.000 Euro.
Wir wissen, wie aufwendig es sein kann, alle DSGVO Pflichten gesetzeskonform umzusetzen. Deshalb haben wir uns genau darauf spezialisiert! Schützen Sie sich und Ihr Unternehmen mit dem DSGVO Schutzteam und sparen Sie sich Zeit, Geld & Nerven!
Unser Tipp!
Mit dem DSGVO Schutzteam stehen Ihnen bei allen DSGVO Angelegenheiten zertifizierte Datenschutzberater zur Seite!
- Unterstützung bei der Beantwortung von Anfragen von betroffenen Personen und auch bei Datenpannen.
- Erfüllung der gesetzlich erforderlichen DSGVO Dokumentationspflichten
- DSGVO konforme Website inklusive Erstellung der Datenschutzerklärung
- Jährliche Überprüfung des Datenschutzes inklusive E-Learning Plattform für Mitarbeiterschulung
Sie haben Fragen?
Die Juristen und Datenschutzbeauftragten des DSGVO Schutzteams helfen Ihnen gerne!
Kostenfrei
Unverbindlich
Kostenfrei
Unverbindlich
Hallo, mein Name ist Walter Lukmann und ich bin zertifizierter Datenschutzberater & Geschäftsführer der Lukmann Consulting GmbH. Wir beraten Sie gerne in Sachen Datenschutz!