Erschienen am 2. Oktober 2020
Das bislang höchste Bußgeld für einen Datenschutz-Verstoß hat jetzt der Hamburgische Datenschutzbeauftragte Johannes Caspar gegen das börsennotierte, schwedische Textilhandelsunternehmen Hennes & Mauritz (179.000 Mitarbeiter, 22 Mrd. Euro Umsatz, 4.300 Geschäfte in 64 Ländern) verhängt: 35.258.707,95 Euro. Grund ist die langjährige Überwachung von Mitarbeitern des für Onlinebestellungen zuständigen H&M-Servicecenters in Nürnberg.
„Ohne vergleichbares Beispiel“
Caspar erklärte, man habe einen „derartig gravierenden“ Verstoß lange nicht mehr gesehen; der Umfang der Ausforschungen sei „in den letzten Jahren ohne vergleichbares Beispiel“. Mindestens seit 2014 seien die Beschäftigten in Nürnberg ausgefragt und ihre Angaben in Profilen gespeichert worden. Nach Abwesenheiten wegen Urlaub oder Krankheit seien die Angestellten nach konkreten Urlaubserlebnissen beziehungsweise Krankheitssymptomen und Diagnosen befragt worden.
"Zusätzlich eigneten sich einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden an", heißt es in der Pressemitteilung der Hamburgischen Datenschutzbehörde. Das Wissen reiche "von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen".
Umfangreiche Profile angelegt
Die Dateien seien "mitunter für bis zu 50 weitere Führungskräfte im ganzen Haus lesbar" gewesen und genutzt worden, um Profile "für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten." Bekannt wurde das, weil die Daten infolge eines Konfigurationsfehlers im Oktober 2019 für einige Stunden unternehmensweit zugänglich waren und jemand die Presse darüber informierte. H&M wurde bereits vom Verein Digitalcourage der Negativpreis „Big Brother Award“ verliehen.
Entschuldigung und Schadenersatz
Caspar berichtete, H&M habe mittlerweile ein "umfassendes Konzept vorgelegt, wie von nun am Standort Nürnberg Datenschutz umgesetzt werden soll". Außerdem habe sich die Unternehmensleitung "ausdrücklich bei den Betroffenen entschuldigt" und sich bereit erklärt, den "Beschäftigten einen unbürokratischen Schadensersatz in beachtlicher Höhe auszuzahlen". Der ist in der Datenschutz-Grundverordnung (DSGVO) allerdings ohnehin vorgesehen. Caspar lobte „ein bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß." H&M hat jetzt zwei Wochen Zeit, Einspruch gegen den Bußgeldbescheid einzulegen.
Imageschaden oft noch größer
Die bisher höchsten Bußgelder bei Verstößen gegen die DSGVO wurden in Höhe von 14,5 Mio. Euro gegen die Deutsche Wohnen SE und in Höhe von 9,5 Mio. Euro gegen 1&1 verhängt. Europaweit wurde gegen Google das höchste Bußgeld verhängt: 50 Mio. Euro. Die Höhe des Bußgelds ist aber nur eine Seite. Die entstehenden Imageschäden und deren Folgen wie bspw. der Vertrauensverlust und der sinkende Markenwert können sich noch höher addieren. Die Datenschutz-Compliance durch ein geprüftes leistungsfähiges Datenschutz-Managementsystem ist dagegen selbst für internationale Konzerne regelrecht günstig.
Update vom 16.10.2020: Der NDR berichtete, dass H&M keinen Einspruch gegen den Bußgeldbescheid eingelegt hat. Somit ist dieser nun rechtskräftig.
Wenn Sie mehr zu diesem Thema wissen wollen, wenden Sie sich bitte direkt an die Autorin oder den Autor. Wir freuen uns auf Ihren Anruf!
© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.
ds² Unternehmensberatung GmbH & Co. KG
Falkenstraße 10
33775 Versmold
+49 5423 9599320