35.258.707,95 Euro. So hoch fällt der Bußgeldbescheid der Hamburger Datenschutzbehörde gegen H&M aus. Damit reden wir über das höchste Bußgeld, das jemals durch eine deutsche Aufsichtsbehörde erlassen wurde.
Was hat sich H&M zu Schulden kommen lassen?
Das konkrete Vergehen des Bekleidungs-Unternehmens ist das Anfertigen einer äußerst fragwürden Dokumentation von höchstpersönlichen Sachverhalten und Lebensumständen mehrerer hundert Mitarbeiter eines Servicecenters in Nürnberg. Die Dokumentation wurde dabei von der Center-Leitung selbst initiert und seit 2014 fortlaufend gepflegt.
Das Vorgehen war dabei wie folgt:
Nachdem Mitarbeiter abwesend waren (z.B. im Urlaub oder krank) haben Teamleiter des H&M-Servicecenters sogenannte „Welcome-Back-Talks“ durchgeführt und sich bei den Mitarbeitern z.B. erkundigt, wie der Urlaub war oder ob die Krankheit gänzlich überstanden ist. Im persönlichen Gespräch haben die Mitarbeiter oftmals etwas mehr erzählt: Urlaubsort, Erlebnisse, Krankheitssymptome und Diagnosen. Aber nicht nur aus direkten Gesprächen wurden Daten abgegriffen: Auch im Flurfunk wurde fleißig mitgelauscht. Da gab es natürlich weitere Informationen zu holen, wie z.B. familiäre Probleme, politische Einstellungen oder religiöse Bekenntnisse.
All diese Informationen wurden aufgezeichnet und seit 2014 auf einem Netzlaufwerk dauerhaft digital gespeichert. Unter anderem waren sie für bis zu 50 Führungskräfte lesbar. Die Aufzeichnungen waren dabei äußerst detailliert und wurden im zeitlichen Verlauf stets fortgeschrieben und ergänzt. Sehr brisant ist in diesem Zusammenhang auch, dass die individuelle Arbeitsleistung der Mitarbeiter (unter Einbezug der privaten Erkenntnisse aus der Dokumentation) ausgewertet wurde. Die Fühungskräfte nutzten die Unterlagen u.a. zur Profil-Erstellung ihrer Beschäftigten, um eine Grundlage für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu haben.
Wie hat die Hamburger Aufsichtsbehörde von dem Verstoß erfahren?
Die Erhebung der Daten wurde nur durch einen unglücklichen Zufall bekannt: Im Oktober 2019 gab es einen Konfigurationsfehler, aufgrunddessen es für einige Stunden unternehmensweit möglich war, auf das Netzlaufwerk und die Dokumentationen zuzugreifen. Durch Presseberichte wurde die Hamburger Aufsichtsbehörde schließlich über das Vergehen informiert. Sie wies H&M an, das Netzlaufwerk umgehend einzufrieren und die Daten herauszugeben. Es handelte sich tatsächlich um einen Datensatz von rund 60 Gigabyte, was eine bemerkenswerte Datenmenge für die Aufzeichnungen eines einzigen Standortes (Servicecenter Nürnberg) ist.
Wie geht es nun weiter?
Grundsätzlich hat H&M nach § 67 OWiG nun zwei Wochen Zeit, Einspruch gegen die Entscheidung einzulegen. Ansonsten würde das Geld in den Hamburger Haushalt fließen. Bisher ist zu einem Einspruch von H&M öffentlich noch nichts konkretes bekannt. Im Fall eines fristgerechten Einspruches durch H&M würde die Hamburger Aufsichtsbehörde diesen sachlich prüfen. Wenn keine Verfahrensfehler durch die Behörde festzustellen sind, dürfte der Einspruch angesichts der erdrückenden Beweislast gegen H&M höchstwahrscheinlich als unbegründet angesehen werden. Lediglich die Verhältnismäßigkeit der Bußgeldsumme könnte ggf. infrage gestellt werden. Die Akten werden im Fall eines Einspruches durch H&M an die Staatsanwaltschaft übertragen. Das zuständige Gericht ist hierbei das Landgericht, da das Bußgeld im vorliegenden Fall die 100.000,00 € Streitwert übersteigt. Im weiteren Verfahrensverlauf gibt es eine Hauptverhandlung, in der Zeugen oder Sachverständige hinzugezogen werden können. Das Ergebnis der Verhandlung wird ergeben, ob die Strafe gemildert wird oder bestehen bleibt.
Allerdings müsste H&M dazu zunächst einmal Einspruch erheben. Es bleibt also spannend.
H&M entschuldigt sich bei den Betroffenen und kooperiert mit der Hamburger Aufsichtsbehörde
Aktuell reagiert die Konzernleitung des Unternehmens bereits auf den Vorfall. Zunächst hat H&M der Aufsichtsbehörde ein umfassendes Konzept vorgelegt, wie der Datenschutz am Standort Nürnberg künftig verbessert werden soll. Im Konzept enthalten sind u.a. ein neu berufener Datenschutzkoordinator, monatliche Datenschutz-Statusupdates, ein verstärkt kommunizierter Whistleblower-Schutz und ein transparentes Auskunfts-Konzept für Betroffene. Auch hat sich die Konzernleitung offiziell bei allen Betroffenen entschuldigt und von selbst Schadensersatzzahlungen in die Wege geleitet.
Ob dies tatsächlich ein Akt der Reue oder lediglich ein kalkuliertes Mittel zur Abmilderung der Bußgeldhöhe, sei nun einmal dahingestellt.
H&M hat die Rekordstrafe mittlerweile akzeptiert. Die zu zahlende Summe sehe der Konzern laut H&M-Sprecherin angesichts des lokalen Vorfalls aber als unverhältnismäßig hoch an.
Quelle 1: Artikel „Bußgeld wegen Datenschutzverstößen bei H&M“, abgerufen am 07.10.2020 unter https://datenschutz-hamburg.de/pressemitteilungen/2020/10/2020-10-01-h-m-verfahren
Quelle 2: Artikel „Verstoß gegen Datenschutz: H&M soll 35 Millionen Euro zahlen“, abgerufen am 07.10.2020 unter https://www.ndr.de/nachrichten/hamburg/Datenschutzverstoesse-HM-soll-35-Millionen-Euro-zahlen,datenschutz708.html
Quelle 3: Newsletter-Mail (01.10.2020) von Stephan Hansen-Oest („Datenschutzguru“), „Datenschutz-Tipps 20/2020: Dickstes Bußgeld ever gegen H&M? | Ablauf so eines Verfahrens“