Aktuelles

35,3 Mio.-Bußgeld für Verstoß gegen Mitarbeiterdatenschutz

Erschienen am 2. Oktober 2020

Das bislang höchste Bußgeld für einen Datenschutz-Verstoß hat jetzt der Hamburgische Datenschutzbeauftragte Johannes Caspar gegen das börsennotierte, schwedische Textilhandelsunternehmen Hennes & Mauritz (179.000 Mitarbeiter, 22 Mrd. Euro Umsatz, 4.300 Geschäfte in 64 Ländern) verhängt: 35.258.707,95 Euro. Grund ist die langjährige Überwachung von Mitarbeitern des für Onlinebestellungen zuständigen H&M-Servicecenters in Nürnberg.

„Ohne vergleichbares Beispiel“

Caspar erklärte, man habe einen „derartig gravierenden“ Verstoß lange nicht mehr gesehen; der Umfang der Ausforschungen sei „in den letzten Jahren ohne vergleichbares Beispiel“. Mindestens seit 2014 seien die Beschäftigten in Nürnberg ausgefragt und ihre Angaben in Profilen gespeichert worden. Nach Abwesenheiten wegen Urlaub oder Krankheit seien die Angestellten nach konkreten Urlaubserlebnissen beziehungsweise Krankheitssymptomen und Diagnosen befragt worden.

„Zusätzlich eigneten sich einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden an“, heißt es in der Pressemitteilung der Hamburgischen Datenschutzbehörde. Das Wissen reiche „von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen“.

Umfangreiche Profile angelegt

Die Dateien seien „mitunter für bis zu 50 weitere Führungskräfte im ganzen Haus lesbar“ gewesen und genutzt worden, um Profile „für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten.“ Bekannt wurde das, weil die Daten infolge eines Konfigurationsfehlers im Oktober 2019 für einige Stunden unternehmensweit zugänglich waren und jemand die Presse darüber informierte. H&M wurde bereits vom Verein Digitalcourage der Negativpreis „Big Brother Award“ verliehen.

Entschuldigung und Schadenersatz

Caspar berichtete, H&M habe mittlerweile ein „umfassendes Konzept vorgelegt, wie von nun am Standort Nürnberg Datenschutz umgesetzt werden soll“. Außerdem habe sich die Unternehmensleitung „ausdrücklich bei den Betroffenen entschuldigt“ und sich bereit erklärt, den „Beschäftigten einen unbürokratischen Schadensersatz in beachtlicher Höhe auszuzahlen“. Der ist in der Datenschutz-Grundverordnung (DSGVO) allerdings ohnehin vorgesehen. Caspar lobte „ein bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß.“ H&M hat jetzt zwei Wochen Zeit, Einspruch gegen den Bußgeldbescheid einzulegen.

Imageschaden oft noch größer

Die bisher höchsten Bußgelder bei Verstößen gegen die DSGVO wurden in Höhe von 14,5 Mio. Euro gegen die Deutsche Wohnen SE und in Höhe von 9,5 Mio. Euro gegen 1&1 verhängt. Europaweit wurde gegen Google das höchste Bußgeld verhängt: 50 Mio. Euro. Die Höhe des Bußgelds ist aber nur eine Seite. Die entstehenden Imageschäden und deren Folgen wie bspw. der Vertrauensverlust und der sinkende Markenwert können sich noch höher addieren. Die Datenschutz-Compliance durch ein geprüftes leistungsfähiges Datenschutz-Managementsystem ist dagegen selbst für internationale Konzerne regelrecht günstig.

Update vom 16.10.2020: Der NDR berichtete, dass H&M keinen Einspruch gegen den Bußgeldbescheid eingelegt hat. Somit ist dieser nun rechtskräftig.

Wenn Sie mehr zu diesem Thema wissen wollen, wenden Sie sich bitte direkt an die Autorin oder den Autor. Wir freuen uns auf Ihren Anruf!

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Sabrina Moll

Sabrina Moll

LL.M., betriebswirtschaftliches und rechtswissenschaftliches Wissen und Erfahrung in der Umsetzung von Datenschutz in Unternehmensprozessen. Die Wirtschaftsjuristin ist dem Bereich Kleine- und mittelständische Unternehmen im ds²-Team von Thomas Spaeing zugeordnet.

zur Vita

Aktuelles zu Datenschutz und Digitalisierung

Unzureichende Sicherung von Krankenakten

Die niederländische Datenschutzbehörde Autoriteit Persoonsgegevens, hat im Februar 2021 ein Bußgeld in Höhe von 440.000 € gegen ein Amsterdamer Krankenhaus erhoben. Dies ist nicht das erste Bußgeld dieser Art gegen ein Krankenhaus.

Eine Website ohne Cookie-Banner?

Das Thema Cookie-Banner ist in aller Munde. Und dennoch besteht diesbezüglich in vielen Unternehmen (teilweise sogar Werbeagenturen) Unsicherheit. Wann muss man einen Cookie-Banner setzen und kann eine Website eigentlich auch ohne Cookie-Banner rechtskonform sein?

Speichern Ja – aber nicht endlos!

Immer wieder wird deutlich, dass bei vielen Unternehmen hinsichtlich des Prinzips der Speicherbegrenzung noch dringender Handlungsbedarf besteht. Auch die datenschutzrechtlichen Aufsichtsbehörden decken diesbezüglich kontinuierlich Defizite auf. Dies kommt Unternehmen teuer zu stehen. Aber wie geht es denn nun richtig?

Überwachung von Mitarbeitern mit Microsoft 365

In fast jedem Unternehmen sind die Produkte von Microsoft, teilweise auch mangels Alternativen, im Einsatz. Vielen Unternehmern ist jedoch nicht bewusst, dass die Nutzung mancher Funktionen datenschutzrechtlich kritisch ist, wie es die neueste Funktion von Microsoft wieder zeigt.

Vorsicht bei der Datenübermittlung in Drittländer

Im Juli dieses Jahres erklärte der Europäische Gerichtshof (EuGH) nach dem Vorgänger nun auch den Privacy-Shield für unwirksam. Wer allein auf der Basis des Privacy Shield weiterhin Daten in die USA übermittelt, handelt damit rechtswidrig. Was können Unternehmen jetzt tun, um ihr Risiko zu senken?

mehr Beiträge laden

Kontakt

Schreiben Sie uns eine Mail an info[at]ds-quadrat.de
oder rufen Sie uns an

+49 5421 308950

Kontakt

Schreiben Sie uns eine Mail an info[at]ds-quadrat.de
oder rufen Sie uns an

+49 5421 308950
2020-12-04T14:03:26+01:00
Nach oben