Millionen-Bußgeld der Hamburger Aufsichtsbehörde gegen H&M

Das war datenschutztechnisch ein ganz schöner Hammer! Die Hamburger Aufsichtsbehörde hat Anfang Oktober ein Bußgeld gegen H&M verhängt. Es handelt sich um das mit Abstand höchste Bußgeld, das wegen eines Datenschutzverstoßes in Deutschland je verhängt wurde. Satte 35,3 Millionen € hat die Aufsichtsbehörde angesetzt.

Und wofür gab es das hohe Bußgeld?

Wegen des Ausspähens der H&M Mitarbeiter. Der zuständige hamburgische Datenschutzbeauftragte Caspar sieht in den Vorgängen einen massiven Datenschutzverstoß und verhängte daher das Bußgeld in zweistelliger Millionenhöhe. H&M kündigte an, den Bußgeldbescheid zu prüfen.

Was war Gegenstand der Aufzeichnungen? Umfassende Aufzeichnung privater Lebensumstände

Konkret geht es um die Aufzeichnung sensibelster Daten zu Krankheiten und anderen persönlichen Umständen im H&M-Kundenzentrum für Deutschland und Österreich in einem Service-Center in Nürnberg. Die von H&M erhobenen Mitarbeiterdaten enthielten:

„detaillierte und systematische Aufzeichnungen von Vorgesetzten über ihre Arbeitnehmerinnen und Arbeitnehmer“, teilte der Datenschutzbeauftragte in einem Interview mit: “Es handelt sich dabei auch um Gesundheitsdaten der Betroffenen, von der Blasenschwäche bis zur Krebserkrankung, sowie um Daten von Personen aus deren sozialen Umfeld wie etwa familiäre Streitigkeiten, Todesfälle oder Urlaubserlebnisse.“ 

Diese Daten wurden in Listen erhoben die für Führungskräfte einsehbar waren.

 

Warum so viel?

Der Datenschutzbeauftragte Caspar begründete das Bußgeld in Höhe von 35,3 Millionen Euro damit, dass H&M in schwerster Weise gegen die DSGVO verstoßen hat.

„Das verhängte Bußgeld ist dementsprechend in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.“

Das Bußgeld hätte wohl noch höher ausfallen können. Als äußerst positiv wurde bei der Bußgeldbemessung die Reaktion der Konzernleitung bewertet. Die Betroffenen wurden schnell in angemessenem Maße entschädigt. H & M hat den Arbeitnehmern ein Schmerzensgeld gezahlt. Insgesamt ging das Unternehmen äußerst transparent mit dem Gesetzesverstoß um und hat zur lückenlosen Aufklärung und raschen Kompensation beigetragen.

Fazit: Die Datenschutzbehörden machen ernst und von ihren Möglichkeiten mehr und mehr Gebrauch!

Thomas Lang
Rechtsanwalt, Fachanwalt für Arbeitsrecht & zertifizierter Datenschutzbeauftragter
https://www.datenschutzadvokat.de