DSGVO-Verstoß

H&M kassiert 35 Millionen Euro Strafe

Eine Rekordstrafe folgt dem BigBrotherAward auf dem Fuße: Der Modekonzern H&M knackt den aktuellen deutschen Bußgeld-Rekord, weil er die Privatsphäre seiner Angestellten verletzt hat.

Das H&M Logo leuchtet an einem dunklen Gebäude
Der Modekonzern H&M erhält das höchste Bußgeld in Deutschland seit Einführung der DSGVO. Gemeinfrei-ähnlich freigegeben durch unsplash.com Sei

Der Hamburgische Datenschutzbeauftragte Johannes Caspar hat ein Bußgeld von 35,3 Millionen Euro gegen die schwedische Modekette H&M verhängt. Im Servicecenter des Onlineshops in Nürnberg sei über Jahre hinweg das Privatleben von Beschäftigten überwacht worden, teilte die Behörde mit.

Der Bußgeldbescheid ist ein neuer Rekord in Deutschland seit der Einführung der Datenschutzgrundverordnung, wie heise online meldet. Das Unternehmen hatte bereits zuvor für seinen Umgang mit Mitarbeiter:innen den Datenschutz-Negativpreis BigBrotherAward 2020 in der Kategorie Arbeitswelt erhalten.

Plauderei über Privates von Chefs protokolliert

Vorgesetzte legten über längere Zeiträume detaillierte Profile von Beschäftigten an. Sie enthielten Informationen über Angestellte, von harmlosen privaten Geschichten bis hin zu sensibelsten Daten. Urlaubserlebnisse, familiäre Probleme, Krankheiten und religiöse Bekenntnisse wurden protokolliert. Die Informationen erlangten die Chefs beim Smalltalk im Flur über das Privatleben und in regelmäßigen „Welcome Back Talks“ nach einem Urlaub oder einer Erkrankung.

Die Profile beeinflussten laut Caspar mitunter Entscheidungen über den beruflichen Werdegang der Betroffenen, ohne dass diese davon wissen konnten. Aufgeflogen ist die detaillierte Überwachung des Privatlebens der Mitarbeitenden des H&M-Servicecenters, nachdem der Zugriff auf ein unternehmensinternes Netzwerklaufwerk fehlerhaft konfiguriert war. Statt eines Kreises von etwa 50 Führungskräften, hatten für einige Stunden alle im Unternehmen Einblick in die etwa 60 Gigabyte umfassenden Datensammlung. Nachdem die FAZ im Oktober letzten Jahres darüber berichtet hatte, schaltete sich die Datenschutzbehörde am Sitz des Unternehmens in Hamburg ein.

Datenschützer statuiert an Verstößen von H&M ein Exempel

Der Hamburger Datenschützer Johannes Caspar nennt den Fall eine „schwere Missachtung des Beschäftigtendatenschutzes“. „Das verhängte Bußgeld ist dementsprechend in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken“, sagte Caspar in einer Pressemitteilung.

H&M teilte mit, man übernehme die volle Verantwortung und entschuldige sich bei den Betroffenen. Dem Entscheid gingen Zeugenvernehmungen voraus, der Konzern händigte die Datensammlung aus und kooperierte mit der Behörde. Mit der Reaktion des Konzerns zeigt sich der Datenschützer zufrieden und lobt die Bemühungen um Transparenz in der Aufklärung. H&M kündigte an, die in den vergangene zwei Jahren betroffenen Beschäftigten finanziell zu entschädigen. Darüber hinaus soll mit einem Aktionsplan die Einhaltung der Datenschutzbestimmungen zukünftig gewährleistet werden. Eine Prüfung des Bußgeldentscheids behält sich H&M allerdings noch vor.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

0 Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.