Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat ein neues deutsches Rekordbußgeld für DSGVO-Verstöße gegen H&M verhängt (Pressemitteilung). Hintergrund war die umfangreiche Sammlung und Bewertung von sensiblen Informationen über Mitarbeiter.
Hintergrund
H&M hatte in einem Servicecenter in Nürnberg umfangreich Informationen über mehrere hundert Mitarbeiterinnen und Mitarbeiter gesammelt und diese bewertet. Die Informationen wurden von Vorgesetzten unter anderem im Rahmen von „Welcome Back Talks“ nach Urlaubs- oder Krankheitsabwesenheiten aufgenommen. Weiterhin sammelten und dokumentierten Vorgesetzte umfangreiche Informationen über das Privatleben der Mitarbeiter.
Diese Informationen wurden zusammen mit einer umfangreichen Auswertung der individuellen Arbeitsleistung von Mitarbeitern zur Profilbildung der Beschäftigten und als Grundlage für Maßnahmen und Entscheidungen im Arbeitsverhältnis genutzt. Die Verarbeitung wurde öffentlich bekannt, als durch einen Konfigurationsfehler die fraglichen Dateien im Herbst 2019 für kurze Zeit konzernweit abrufbar waren.
Das Bußgeld
Nach Angaben des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit hat H&M im Rahmen der Ermittlungen umfangreich kooperiert und als Reaktion auf den Verstoß ein umfassendes Datenschutzkonzept eingeführt. Dieses beinhaltete u.a. einen neu ernannten Datenschutzkoordinator, monatliche Datenschutz-Statusupdates und ein Konzept zur Beantwortung von Auskunftsanfragen.
Zusätzlich hat H&M den betroffenen Mitarbeitern auf Anregung der Datenschutzaufsicht einen Schadensersatz in beachtlicher Höhe ausgezahlt (genauere Informationen zur Höhe sind nicht genannt). Auch wenn die Kooperation des Unternehmens sich bußgeldmildernd ausgewirkt haben sollte, verhängte die Aufsichtsbehörde ein Rekordbußgeld in Höhe von € 35.258.707,95. Das hohe Bußgeld ist eine weitere Folge des Bußgeldbemessungskonzepts der deutschen Datenschutzbehörden, das sich am weltweiten Unternehmensumsatz orientiert.
Bewertung und Fazit
Die Höhe des Bußgeldes ist angesichts des Bußgeldbemessungskonzepts für Datenschutzexperten keine große Überraschung. Aufgrund des Milliardenumsatzes von H&M sowie der hochsensiblen Daten, welche hier erhoben und zur Erstellung von Mitarbeiterprofilen verarbeitet wurden, hätte das Bußgeld nach dem Konzept sogar noch höher ausfallen können.
Interessant ist auf jeden Fall der auf Anregung der Aufsichtsbehörde „freiwillig“ gezahlte Schadensersatz an die Mitarbeiter. Falls Aufsichtsbehörden dies künftig öfter bei Datenschutzverstößen „empfehlen“, sollten Unternehmen solche Zahlungen in der eigenen Risikoanalyse bereits berücksichtigen.
Im Ergebnis zeigt dieser Fall, dass sich ein solides Datenschutzkonzept für Unternehmen lohnen kann. Dabei sollten Unternehmen nicht nur die organisatorischen Maßnahmen zum Schutz personenbezogener Daten treffen (also hier den Mitarbeitern eine derart umfassende Auswertung untersagen), sondern auch entsprechende technische Maßnahmen einführen, die zumindest die Veröffentlichung der Dateien im Konzern hätten verhindern können.