Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat einen Bußgeldbescheid in Höhe von 35.258.707,95 Euro gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG erlassen.
Hinter dieser Nachricht verbirgt sich ein handfester Datenskandal.
Datenbanken mit intimen Details
Das Modehaus hat in seinem Servicecenter in Nürnberg über einen Zeitraum von mindestens fünf Jahren private Daten von Mitarbeiterinnen und Mitarbeitern gesammelt und gespeichert. Im Rahmen von offiziellen Personalgesprächen wurden Details über Freizeitverhalten und Krankheitsdiagnosen aufgenommen. Inoffizieller „Flurfunk“ wurde systematisch ausgewertet und dabei auch höchst persönliche Bereiche wie das Familienleben oder das religiöse Bekenntnis registriert.
Auswertung mit Auswirkung auf das Arbeitsverhältnis
Diese „Stasi-Methoden“ hatten den Zweck, bei der Gestaltung der Personalpolitik des Hauses Entscheidungshilfen zu bieten. Führungskräfte werteten die detailreichen Daten aus , um die Arbeitsleistung der Mitarbeiterin resp. des Mitarbeiters einschätzen und bei negativer Prognose entsprechende Maßnahmen ergreifen zu können. Diese Art der betrieblichen Nutzung privater Daten stellt einen besonders intensiven Eingriff in die Rechte der Betroffenen dar.
60 Gigabyte Privatleben
Vor einem Jahr kamen die dubiose Praktiken im H&M-Servicecenter ans Licht: Durch einen Konfigurationsfehler waren die Daten im Oktober 2019 für einige Stunden unternehmensweit zugreifbar. Der HmbBfDI schaltete sich nach Presseberichten ein. H&M zeigte sich kooperativ und händigte die Daten aus – 60 Gigabyte Privatleben. Ein neues Datenschutzkonzept soll künftig Verstöße vermeiden. Zudem willigte das Unternehmen ein, den Betroffenen einen unbürokratischen Schadenersatz in beachtlicher Höhe zu zahlen.
Datenschutzverstöße sind keine Kavaliersdelikte
Das Verhängen eines Millionenbußgelds zeigt: Datenschutzverstöße sind keine Kavaliersdelikte. Unternehmen, die mehr über ihre Mitarbeiterinnen und Mitarbeiter wissen wollen als für das Arbeitsverhältnis im Betriebsablauf nötig ist, gehören die Grenzen aufgezeigt. Gut, dass sich das Unternehmen H&M seiner Verantwortung bewusst geworden ist und diese Grenzen in Zukunft selber ziehen will. Alle anderen Unternehmen sollten gewarnt sein – und schauen, was sich so alles auf der Festplatte befindet. Und ob es dahin gehört.
Der Beitrag stammt von unserem freien Autor Josef Bordat. Er ist Teil unserer Reihe “Berichte aus der Parallelwelt”. Dort werfen Autoren aus anderen Fachbereichen einen Blick auf die Rechtswissenschaft in Theorie und Praxis. Die Beiträge betrachten, anders als unsere sonstigen Fachbeiträge Begebenheiten und Rechtsfälle daher auch nicht juristisch, sondern aus einem völlig anderen Blickwinkel. Aus welchem, das soll der Beurteilung der Leser überlassen bleiben. Interessant wird es, wie wir meinen, allemal.