Der Hamburgische Beauftragte für den Datenschutz und die Informationsfreiheit hat gegen H&M wegen der Verletzung der DSGVO im Bereich der Verarbeitung von ArbeitnehmerInnendaten eine Geldstrafe von ca EUR 35 Mio verhängt.
Das „Vergehen“
H&M Hennes & Mauritz Online Shop A.B. & Co. KG („H&M“) hat Daten von Beschäftigten erhoben und gespeichert, die nicht unmittelbar mit dem Arbeitsverhältnis zu tun haben, und die Sozial- und Privatsphäre der Mitarbeiter Innen betreffen.
Mindestens seit dem Jahr 2014 hat H&M bei einem Teil der Beschäftigten privater Lebensumstände in umfassender Form erhoben und zB als Notizen dauerhaft auf einem Netzlaufwerk gespeichert. Teamleader haben mit den Beschäftigten (nach Urlaub oder Krankenstand) „Welcome Back Talks“ geführt.
Folgende Datenkategorien wurden erhoben und gespeichert:
· konkrete Urlaubserlebnisse
· Krankheitssymptome und Diagnosen
In Einzel- und Flurgesprächen wurden von einigen Vorgesetzten umfangreiche Daten über das Privatleben erhoben und dann gespeichert. Die spannt sich von harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen reichte.
Die Daten waren mitunter für bis zu 50 weitere Führungskräfte zugänglich.
„Die so erhobenen Daten wurden neben einer akribischen Auswertung der individuellen
Arbeitsleistung u.a. genutzt, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten. Die Kombination aus der Ausforschung des Privatlebens und der
laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte zu einem besonders intensiven Eingriff in die Rechte der Betroffenen.”
(Auszug aus der Pressemitteilung)
Die Geldstrafe
Es wurde eine Geldstrafe in Höhe von Euro 35.258.707,95 verhängt.
Das Geschäftsjahr von H&M Group (H & M Hennes & Mauritz AB) läuft vom 1.12. des Jahres bis zum 30.11. des Vorjahres und laut Geschäftsbericht 2019 betrug der Umsatz SEK 232.755.000.000, dies entspricht in etwa EUR 22,2 Mrd.
Der Umsatz des Verantwortlichen (H&M Hennes & Mauritz Online Shop A.B. & Co. KG) in Deutschland im Jahr 2019 betrug ca. EUR 3,2 Mrd.
Quelle für die Umsatzahlen: https://de.statista.com/themen/1292/hennes-und-mauritz/
Die Geldstrafe von ca. EUR 35.000.000 liegt daher bei ca 1,1% des Jahresumsatzes in Deutschland, wobei es in der Pressemitteilung des Hamburgischen Beauftragte für den Datenschutz und die Informationsfreiheit keine Erklärungen gab, wie die Geldstrafe konkret bemessen wurde, und insbes. ob die Berechnungsmethode der DSK für DSGVO-Strafen angewandt wurde oder nicht.
„Erschwerungs- und Milderungsgründe“
Folgende Umstände die berücksichtigt wurden, haben sich mildernd ausgewirkt:
- Der Verantwortliche hat verschiedene Abhilfemaßnahmen veranlasst
- Der Verantwortliche hat der Aufsichtsbehörde ein umfassendes Konzept vorgelegt, wie der Datenschutz umgesetzt wird
- Entschuldigung bei den Mitarbeiter*Innen
- Auf Anregung (der Behörde) wurde auch unbürokratisch Schadenersatz in beachtlicher Höhe an die Mitarbeiter*Innen geleistet
- Einführung einer „Datenschutzmanagement-Organisation“
o mit einem neu berufenen Datenschutzkoordinator,
o monatliche Datenschutz-Statusupdates,
o ein verstärkt kommunizierter Whistleblower-Schutz sowie
o ein konsistentes Auskunfts-Konzept
Zu den "Erschwerungsgründen" gibt es keine Angaben aus der Pressemitteilung, aber es davon auszugehen, dass zB die lange Dauer (seit 2014), das Abhängigkeits- bzw. Über/Unterordnungsverhältnis zwischen Verantwortlichem und den betroffenen Personen sowie die (relativ) große Anzahl an Betroffenen sich auf die Höhe ausgewirkt haben.
Die Aufsichtsbehörde hat dazu ausgeführt, dass es sich um ein „insoweit um ein bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß“ handelt.
Die Reaktion von H&M
Der Verantwortliche selbst hat sich auch bereits zu Wort gemeldet, und auf der Website mitgeteilt, dass eine sorgfältige Prüfung des Beschlusses erfolgen wird.
3.10.2020, Autor
Michael Schweiger
Wir haben im Blog bereits über diese Angelegenheit berichtet:
26.1.2020 - Schadenersatz für "ausspionierte" H&M-Mitarbeiter*Innen
Kommentar schreiben