Im Fall der Über­wa­chung von meh­re­ren hun­dert Mit­ar­bei­te­rin­nen und Mit­ar­bei­tern des H&M Ser­vice­cen­ters in Nürn­berg durch die Cen­ter-Lei­tung hat der Ham­bur­gi­sche Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit (HmbBfDI) einen Buß­geld­be­scheid in Höhe von 35.258.707,95 Euro gegen die H&M Hen­nes & Mau­ritz Online Shop A.B. & Co. KG erlassen.

Die Gesell­schaft mit Sitz in Ham­burg betreibt ein Ser­vice­cen­ter in Nürn­berg. Min­de­stens seit dem Jahr 2014 kam es bei einem Teil der Beschäf­tig­ten zu umfang­rei­chen Erfas­sun­gen pri­va­ter Lebens­um­stän­de. Ent­spre­chen­de Noti­zen wur­den auf einem Netz­lauf­werk dau­er­haft gespei­chert. Nach Urlaubs- und Krank­heits­ab­we­sen­hei­ten – auch kur­zer Art – führ­ten die vor­ge­setz­ten Team­lea­der einen soge­nann­ten Wel­co­me Back Talk durch. Nach die­sen Gesprä­chen wur­den in etli­chen Fäl­len nicht nur kon­kre­te Urlaubs­er­leb­nis­se der Beschäf­tig­ten fest­ge­hal­ten, son­dern auch Krank­heits­sym­pto­me und Dia­gno­sen. Zusätz­lich eig­ne­ten sich eini­ge Vor­ge­setz­te über Ein­zel- und Flur­ge­sprä­che ein brei­tes Wis­sen über das Pri­vat­le­ben ihrer Mit­ar­bei­ten­den an, das von eher harm­lo­sen Details bis zu fami­liä­ren Pro­ble­men sowie reli­giö­sen Bekennt­nis­sen reich­te. Die Erkennt­nis­se wur­den teil­wei­se auf­ge­zeich­net, digi­tal gespei­chert und waren mit­un­ter für bis zu 50 wei­te­re Füh­rungs­kräf­te im gan­zen Haus les­bar. Die Auf­zeich­nun­gen wur­den bis­wei­len mit einem hohen Detail­grad vor­ge­nom­men und im zeit­li­chen Ver­lauf fort­ge­schrie­ben. Die so erho­be­nen Daten wur­den neben einer akri­bi­schen Aus­wer­tung der indi­vi­du­el­len Arbeits­lei­stung u.a. genutzt, um ein Pro­fil der Beschäf­tig­ten für Maß­nah­men und Ent­schei­dun­gen im Arbeits­ver­hält­nis zu erhal­ten. Die Kom­bi­na­ti­on aus der Aus­for­schung des Pri­vat­le­bens und der lau­fen­den Erfas­sung, wel­cher Tätig­keit sie jeweils nach­gin­gen, führ­te zu einem beson­ders inten­si­ven Ein­griff in die Rech­te der Betroffenen.

Bekannt wur­de die Daten­er­he­bung dadurch, dass die Noti­zen infol­ge eines Kon­fi­gu­ra­ti­ons­feh­lers im Okto­ber 2019 für eini­ge Stun­den unter­neh­mens­weit zugreif­bar waren. Nach­dem der Ham­bur­gi­sche Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit über die Daten­samm­lung durch Pres­se­be­rich­te infor­miert wur­de, ord­ne­te er zunächst an, den Inhalt des Netz­lauf­werks voll­stän­dig „ein­zu­frie­ren“ und ver­lang­te dann die Her­aus­ga­be. Das Unter­neh­men kam dem nach und leg­te einen Daten­satz von rund 60 Giga­byte zur Aus­wer­tung vor. Ver­neh­mun­gen zahl­rei­cher Zeu­gin­nen und Zeu­gen bestä­tig­ten nach Ana­ly­se der Daten die doku­men­tier­ten Praktiken.

Die Auf­deckung der erheb­li­chen Ver­stö­ße hat die Ver­ant­wort­li­chen zur Ergrei­fung ver­schie­de­ner Abhil­fe­maß­nah­men ver­an­lasst. Dem HmbBfDI wur­de ein umfas­sen­des Kon­zept vor­ge­legt, wie von nun an am Stand­ort Nürn­berg Daten­schutz umge­setzt wer­den soll. Zur Auf­ar­bei­tung der ver­gan­ge­nen Gescheh­nis­se hat sich die Unter­neh­mens­lei­tung nicht nur aus­drück­lich bei den Betrof­fe­nen ent­schul­digt. Sie folgt auch der Anre­gung, den Beschäf­tig­ten einen unbü­ro­kra­ti­schen Scha­den­er­satz in beacht­li­cher Höhe aus­zu­zah­len. Es han­delt sich inso­weit um ein bis­lang bei­spiel­lo­ses Bekennt­nis zur Unter­neh­mens­ver­ant­wor­tung nach einem Daten­schutz­ver­stoß. Wei­te­re Bau­stei­ne des neu ein­ge­führ­ten Daten­schutz­kon­zepts sind unter ande­rem ein neu beru­fe­ner Daten­schutz­ko­or­di­na­tor, monat­li­che Daten­schutz-Sta­tus­up­dates, ein ver­stärkt kom­mu­ni­zier­ter Whist­leb­lower-Schutz sowie ein kon­si­sten­tes Auskunfts-Konzept.

Hier­zu Prof. Dr. Johan­nes Cas­par, der Ham­bur­gi­sche Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit: „Der vor­lie­gen­de Fall doku­men­tiert eine schwe­re Miss­ach­tung des Beschäf­tig­ten­da­ten­schut­zes am H&M‑Standort Nürn­berg. Das ver­häng­te Buß­geld ist dem­entspre­chend in sei­ner Höhe ange­mes­sen und geeig­net, Unter­neh­men von Ver­let­zun­gen der Pri­vat­sphä­re ihrer Beschäf­tig­ten abzuschrecken.

Aus­drück­lich posi­tiv ist das Bemü­hen der Kon­zern­lei­tung zu bewer­ten, die Betrof­fe­nen vor Ort zu ent­schä­di­gen und das Ver­trau­en in das Unter­neh­men als Arbeit­ge­ber wie­der­her­zu­stel­len. Die trans­pa­ren­te Auf­klä­rung sei­tens der Ver­ant­wort­li­chen und die Gewähr­lei­stung einer finan­zi­el­len Kom­pen­sa­ti­on zei­gen durch­aus den Wil­len, den Betrof­fe­nen den Respekt und die Wert­schät­zung zukom­men zu las­sen, die sie als abhän­gig Beschäf­tig­te in ihrem täg­li­chen Ein­satz für ihr Unter­neh­men verdienen.“

https://​daten​schutz​-ham​burg​.de/​p​r​e​s​s​e​m​i​t​t​e​i​l​u​n​g​e​n​/​2​0​2​0​/​1​0​/​2​020 – 10-01-h-m-verfahren