Seit Einführung der Datenschutz-Grundverordnung (DSGVO) im Jahr 2018 wurden europaweit fast eine halbe Milliarde Euro an Bußgeldern wegen Datenschutzverstößen verhängt. Dazu hatten deutsche Unternehmen bisher nur 26,4 Millionen Euro beigetragen.
Zu diesem Ergebnis kommt eine Studie der international renommierten Wirtschaftskanzlei CMS Hasche Sigle, über die der Focus berichtete. Spitzenreiter bei den verhängten Bußgeldern ist Großbritannien mit 315,3 Millionen Euro.
35,3 Millionen Euro Bußgeld für H&M
Jetzt sorgt Hamburgs Datenschutzbehörde für eine „Verbesserung“ der deutschen Position in diesem zweifelhaften Ranking- Sie verhängte ein Bußgeld von 35.258.707 Euro und 95 Cent gegen die Modekette H&M wegen erheblicher Datenschutzverstöße in seinem Nürnberger Servicecenter. Da der Firmensitz von H&M Hennes & Mauritz Online Shop A.B. & Co. KG in Hamburg ist, war die dortige Datenschutzbehörde in diesem Fall zuständig.
Teure „Welcome-Back-Talks“
Im betroffenen Servicecenter hatten Führungskräfte privateste Daten ihrer Mitarbeiter bei deren Rückkehr aus dem Urlaub im Rahmen sogenannter „Welcome-Back-Talks“ erfragt und auf dem Firmenrechner abgespeichert. Neben Urlaubserlebnissen wurden auch Krankheitssymptome und sonstige Diagnosen für das firmeninterne Netzwerk erfaßt.
60 Gigabyte Personaldaten
Auch private Gesprächsinhalte aus dem betrieblichen Alltag wie familiäre Probleme, oder religiöse Einstellungen fanden ihren Weg in den Firmenrechner. Informationen, auf welche die leitenden Mitarbeiter des Unternehmens jederzeit zugreifen konnten. Diese Aufzeichnungen wurden durch eine akribische Auswertung der individuellen Arbeitsleistung ergänzt.
Anzeige
Beschäftigtendatenschutz > Handbuch – Nomos 2020
Informieren & Bestellen > juristische-fachbuchhandlung
Die illegale Datensammlung flog auf, als durch eine technische Panne für kurze Zeit alle Mitarbeiter auf die Personaldaten zugreifen konnten. Medienberichte über die arbeits- und datenschutzrechtlich unglaublichen Vorgänge im Service-Center von H&M riefen Hamburgs Datenschützer auf den Plan. Die verlangten die Herausgabe der Personaldateien. Bei der Auswertung der umfangreichen Datensammlung (60 Gigabyte) und nachfolgenden Zeugenanhörungen kamen erheblichen Verstöße gegen die DSGVO ans Licht.
Bußgeldhöhe ist ein Signal
Der Hamburger Beauftragte für den Datenschutz, Professor Johannes Caspar, sagte zu der ungewöhnlich hohen Strafe: „Der vorliegende Fall dokumentiert eine schwere Missachtung des Beschäftigtendatenschutzes am H&M-Standort Nürnberg. Das verhängte Bußgeld ist dementsprechend in seiner Höhe angemessen.“
H&M optimiert Datenschutz
Nach Caspars Meinung ist die Höhe des Bußgeldes auch ein Signal an andere Unternehmen, derartige Verletzungen der Privatsphäre ihrer Beschäftigten zu unterlassen. H&M hat inzwischen reagiert und ein neues Datenschutzkonzept vorgelegt. Neben einem Datenschutzkoordinator gibt es jetzt auch monatliche Datenschutz-Statusupdates, einen Schutz für Whistleblower und ein besseres Auskunfts-Konzept.
.
Hintergrund
Die DSGVO trat im Mai 2018 in Kraft. Sie sieht vor, dass Firmen innerhalb der EU bei Datenschutzverstößen bis zu vier Prozent ihres weltweiten Jahresumsatzes als Strafe abführen müssen.
.
Quelle: dts, PM HmbBfDI