Rekordbußgeld in Deutschland wegen Datenschutzverstößen

Am 1. Oktober 2020 wurde bekannt, dass der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) ein Rekordbußgeld in Höhe von über 35 Millionen Euro gegen H&M Hennes&Mauritz Online Shop A.B.&Co.KG wegen schwerwiegender Datenschutzverstößen erlassen hat. Das Unternehmen hat über mehrere Jahre seine Mitarbeiter ausspioniert.

Seit mindestens 2014 wurden im H&M Servicecenter in Nürnberg mehrere hunderte Mitarbeiter durch die Center-Leitung überwacht. Nach Urlaubs- und Krankheitsabwesenheiten fand mit den betreffenden Mitarbeitern ein sogenannter Welcome Back Talk mit dem vorgesetzten Teamleader statt. Dabei handelte es sich jedoch nicht um eine nette Geste des Unternehmens. Ganz im Gegenteil, neben konkreten Urlaubserlebnissen wurden auch Krankheitssymptome und Diagnosen in Notizen dauerhaft elektronisch gespeichert. In Einzelgesprächen wurden auch immer wieder Informationen über das Privatleben der Mitarbeiter abgefragt. Diese Erkenntnisse wurden ebenfalls aufgezeichnet und waren für bis zu 50 Führungskräften im Unternehmen einsehbar. Die erhobenen Daten und erstellten Profile wurden vor allem zur Beurteilung der Arbeitsleistung der Mitarbeiter und als Grundlage für Maßnahmen und Entscheidungen im Arbeitsverhältnis genutzt.

Nur durch einen Zufall sind die rechtswidrigen Handlungen von H&M aufgeflogen. Infolge eines Konfigurationsfehlers im Oktober 2019 waren die Aufzeichnungen für ein paar Stunden für alle Mitarbeiter einsehbar. Daraufhin wurde die Hamburger Behörde informiert, die ein Einfrieren des Netzwerklaufwerkes veranlasste und deren Herausgabe verlangte. Das Unternehmen kam dieser Anweisung nach und legte der Behörde einen Datensatz von 60! Gigabyte zur weiteren Auswertung vor. Die HmbBfDI war deshalb zuständig, da H&M seinen deutschen Unternehmenssitz in Hamburg hat. Nach zahlreichen Zeugeneinvernahmen bestätigte sich der Verdacht der illegalen Praktiken.

Trotz der Kooperation von H&M mit der Behörde und der Zusage des Unternehmens, verschiedene Abhilfemaßnahmen zu veranlassen, sowie die Betroffenen entsprechend zu entschädigen, wurde ein Bußgeld von über 35 Mio. Euro verhängt. Nach Ansicht der Behörde handelt es sich um einen besonders intensiven Eingriff in die Rechte der Betroffenen. Dies bestätigte auch Hamburgs Datenschutz Chef Johannes Caspar: „Der vorliegende Fall dokumentiert eine schwere Missachtung des Beschäftigtendatenschutzes am H&M-Standort Nürnberg. Das verhängte Bußgeld ist dementsprechend in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.“

Das verhängte Bußgeld übersteigt alle bisher in Deutschland verhängten Bußgelder nach Geltung der Datenschutzgrundverordnung im Mai 2018. Der Fall beweist auch, dass die Datenschutzbehörden trotz Kooperation des Verantwortlichen und der Einleitung von Abhilfemaßnahmen keine Gnade vor Recht ergehen lassen. Erst vor kurzem wurde über die AOK Baden-Württemberg wegen eines DSGVO-Verstoßes eine Geldbuße in Höhe von 1,24 Millionen Euro verhängt. Auch in diesem Fall hat die AOK von Anfang an mit der Behörde kooperiert und seine internen Prozesse und Kontrollstrukturen angepasst. Ausdrücklich betont wurde jedoch, dass Bußgelder nach der DSGVO wirksam, verhältnismäßig, aber auch abschreckend sein sollen.

Hinweis: Dieser Blog stellt lediglich eine generelle Information und keineswegs eine Rechtsberatung von Binder Grösswang Rechtsanwälte GmbH dar. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen. Binder Grösswang Rechtsanwälte GmbH übernimmt keine Haftung, gleich welcher Art, für Inhalt und Richtigkeit des Blogs.