Aktuelles

35,3 Mio.-Bußgeld für Verstoß gegen Mitarbeiterdatenschutz

Erschienen am 2. Oktober 2020

Das bislang höchste Bußgeld für einen Datenschutz-Verstoß hat jetzt der Hamburgische Datenschutzbeauftragte Johannes Caspar gegen das börsennotierte, schwedische Textilhandelsunternehmen Hennes & Mauritz (179.000 Mitarbeiter, 22 Mrd. Euro Umsatz, 4.300 Geschäfte in 64 Ländern) verhängt: 35.258.707,95 Euro. Grund ist die langjährige Überwachung von Mitarbeitern des für Onlinebestellungen zuständigen H&M-Servicecenters in Nürnberg.

„Ohne vergleichbares Beispiel“

Caspar erklärte, man habe einen „derartig gravierenden“ Verstoß lange nicht mehr gesehen; der Umfang der Ausforschungen sei „in den letzten Jahren ohne vergleichbares Beispiel“. Mindestens seit 2014 seien die Beschäftigten in Nürnberg ausgefragt und ihre Angaben in Profilen gespeichert worden. Nach Abwesenheiten wegen Urlaub oder Krankheit seien die Angestellten nach konkreten Urlaubserlebnissen beziehungsweise Krankheitssymptomen und Diagnosen befragt worden.

„Zusätzlich eigneten sich einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden an“, heißt es in der Pressemitteilung der Hamburgischen Datenschutzbehörde. Das Wissen reiche „von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen“.

Umfangreiche Profile angelegt

Die Dateien seien „mitunter für bis zu 50 weitere Führungskräfte im ganzen Haus lesbar“ gewesen und genutzt worden, um Profile „für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten.“ Bekannt wurde das, weil die Daten infolge eines Konfigurationsfehlers im Oktober 2019 für einige Stunden unternehmensweit zugänglich waren und jemand die Presse darüber informierte. H&M wurde bereits vom Verein Digitalcourage der Negativpreis „Big Brother Award“ verliehen.

Entschuldigung und Schadenersatz

Caspar berichtete, H&M habe mittlerweile ein „umfassendes Konzept vorgelegt, wie von nun am Standort Nürnberg Datenschutz umgesetzt werden soll“. Außerdem habe sich die Unternehmensleitung „ausdrücklich bei den Betroffenen entschuldigt“ und sich bereit erklärt, den „Beschäftigten einen unbürokratischen Schadensersatz in beachtlicher Höhe auszuzahlen“. Der ist in der Datenschutz-Grundverordnung (DSGVO) allerdings ohnehin vorgesehen. Caspar lobte „ein bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß.“ H&M hat jetzt zwei Wochen Zeit, Einspruch gegen den Bußgeldbescheid einzulegen.

Imageschaden oft noch größer

Die bisher höchsten Bußgelder bei Verstößen gegen die DSGVO wurden in Höhe von 14,5 Mio. Euro gegen die Deutsche Wohnen SE und in Höhe von 9,5 Mio. Euro gegen 1&1 verhängt. Europaweit wurde gegen Google das höchste Bußgeld verhängt: 50 Mio. Euro. Die Höhe des Bußgelds ist aber nur eine Seite. Die entstehenden Imageschäden und deren Folgen wie bspw. der Vertrauensverlust und der sinkende Markenwert können sich noch höher addieren. Die Datenschutz-Compliance durch ein geprüftes leistungsfähiges Datenschutz-Managementsystem ist dagegen selbst für internationale Konzerne regelrecht günstig.

Update vom 16.10.2020: Der NDR berichtete, dass H&M keinen Einspruch gegen den Bußgeldbescheid eingelegt hat. Somit ist dieser nun rechtskräftig.

Wenn Sie mehr zu diesem Thema wissen wollen, wenden Sie sich bitte direkt an die Autorin oder den Autor. Wir freuen uns auf Ihren Anruf!

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Sabrina Moll

Sabrina Moll

LL.M., betriebswirtschaftliches und rechtswissenschaftliches Wissen und Erfahrung in der Umsetzung von Datenschutz in Unternehmensprozessen. Die Wirtschaftsjuristin ist dem Bereich Kleine- und mittelständische Unternehmen im ds²-Team von Thomas Spaeing zugeordnet.

zur Vita

Aktuelles zu Datenschutz und Digitalisierung

2 Millionen Euro Bußgeld – unrechtmäßiges Einwilligungsverfahren

Anfang August 2021 wurde bekannt, dass die österreichische Aufsichtsbehörde ein Bußgeld in Höhe von 2 Millionen Euro gegen die jö Bonus Club GmbH erlassen hat. Bei der jö Bonus Club GmbH handelt es sich um ein österreichisches Kundenbindungsprogramm. Hier können sich Kunden registrieren und bei mitmachenden Märkten Prämien sammeln oder Aktionscoupons erstehen.

Cookie-Banner – immer wieder für eine „Aufregung“ gut

Auch wenn die Themenvielfalt im Datenschutz weitgefächert ist, stoßen wir immer wieder auf ein bestimmtes Thema: Cookie- bzw. Consent-Banner. Mit Hilfe eines Cookie-Banners soll die Einwilligung der Webseitenbesucher zur Nutzung unterschiedlicher Cookies, z.B. Tracking für Werbezwecke, eingeholt werden. Problematisch ist die rechtskonforme Gestaltung dieser Einwilligungen. Teilweise fehlen z.B. transparente Informationen zu den eingesetzten Cookies, teilweise besteht nur die Möglichkeit der Annahme durch klicken auf einen einzelnen „okay“ Button und teilweise wird der Nutzer durch bestimmte farbliche Gestaltungen genötigt in die Cookie Nutzung einzuwilligen.

Angemessenheitsbeschluss Großbritannien

Seit dem 01.07.2021 besteht für Großbritannien ein anerkannter Angemessenheitsbeschluss. Dieser stellt eine geeignete Garantie gem. Art. 45 DSGVO dar und ermöglicht den sicheren Datentransfer in ein anderes Land außerhalb der EU/EWR.

Top 5 Bußgelder aus dem Monat Mai

Die höchsten Bußgelder im Mai verhängte die spanische Aufsichtsbehörde - gleich zwei Unternehmen erhielten ein Bußgeld in Höhe von jeweils 1,5 Millionen Euro wegen unzureichender Informationen gem. Art. 13 DSGVO (insbesondere wegen fehlendem Hinweis auf die Betroffenenrechte gem.  Art. 15 ff. DSGVO und Rechtsgrundlage).

Aufsichtsbehördliche Kontrollen

Die deutschen Aufsichtsbehörden haben nun bekannt gegeben, dass sie gemeinsam abgestimmte Kontrollen durchführen wollen, um die Einhaltung datenschutzrechtlicher Vorgaben zu internationalen Datenübermittlungen zu überprüfen.

Corona-Warn-App

Die von SAP und der Telekom entwickelte Corona-Warn-App steht seit dem 16.06.2020 zum Download bereit. Die Bluetooth-gestützte App dient der Nachverfolgung von Infektionsrisiken. Dabei wird durch Bildung eines Dauer- und Entfernungsprofils nach statistischen Berechnungsvorschriften ein individueller Risiko-Score ermittelt. Wir beleuchten die datenschutzrechtlichen Themen in diesem Zusammenhang.

SMS Betrug

Aktuell werden SMS verschickt, die angebliche Pakete ankündigen. Bei einem Klick auf den Link wird Schadsoftware auf dem Smartphone installiert. Wir zeigen Ihnen, wie Sie Phishing erkennen und wie Sie sich schützen können.

Kontakt

Schreiben Sie uns eine Mail an info[at]ds-quadrat.de
oder rufen Sie uns an

+49 5421 308950

Kontakt

Schreiben Sie uns eine Mail an info[at]ds-quadrat.de
oder rufen Sie uns an

+49 5421 308950
2021-09-07T09:20:18+02:00
Nach oben