Datenschutzverstöße H&M soll 35 Millionen Euro Bußgeld zahlen

Jahrelang hat die Modekette H&M Angestellte in einem Servicecenter überwacht und Angaben zu Krankheitsdiagnosen in Mitarbeiterprofilen gespeichert. Hamburgs Datenschützer verhängt ein Rekordbußgeld.
H&M hat Angestellte in einem Servicecenter überwacht

H&M hat Angestellte in einem Servicecenter überwacht

Foto: Mike Segar / REUTERS

Der hamburgische Datenschutzbeauftragte Johannes Caspar verhängt ein Rekordbußgeld in Höhe von 35.258.707,95 Euro gegen das Modeunternehmen Hennes & Mauritz (H&M). Hintergrund ist die Überwachung von Mitarbeiterinnen und Mitarbeitern in einem H&M-Servicecenter in Nürnberg. Caspar ist zuständig, weil die schwedische Modekette ihren Deutschlandsitz in Hamburg hat.

Mindestens seit 2014 seien die Beschäftigten in Nürnberg ausgefragt und die Angaben in Profilen gespeichert worden. Nach Abwesenheiten wegen Urlaub oder Krankheit seien die Angestellten nach konkreten Urlaubserlebnissen beziehungsweise Krankheitssymptomen und Diagnosen befragt worden. "Zusätzlich eigneten sich einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden an", heißt es in der Pressemitteilung der Datenschutzbehörde. Das Wissen reiche "von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen". Die Erkenntnisse seien "mitunter für bis zu 50 weitere Führungskräfte im ganzen Haus lesbar" gewesen und genutzt worden, um Profile "für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten."

Bekannt wurde das nur, weil die Daten infolge eines Konfigurationsfehlers im Oktober 2019 für einige Stunden unternehmensweit zugänglich waren und jemand die Presse darüber informierte.

"Schadensersatz in beachtlicher Höhe"

Datenschutzbehörde

H&M habe mittlerweile ein "umfassendes Konzept vorgelegt, wie von nun an am Standort Nürnberg Datenschutz umgesetzt werden soll". Außerdem habe sich die Unternehmensleitung "ausdrücklich bei den Betroffenen entschuldigt" und sich bereit erklärt, den "Beschäftigten einen unbürokratischen Schadensersatz in beachtlicher Höhe auszuzahlen". Der ist in der Datenschutz-Grundverordnung (DSGVO) allerdings ohnehin vorgesehen, in Artikel 82 .

Es handle sich daher "um ein bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß". Die Höhe des Bußgelds hält Caspar dennoch für angemessen.

Nach Angaben eines Behördensprechers ist es das bisher höchste in Deutschland verhängte Bußgeld nach Inkrafttreten der DSGVO und das zweithöchste in Europa. Im vergangenen Jahr hatte Frankreichs Datenschutzbehörde Google 50 Millionen Euro Bußgeld aufgebrummt. In Deutschland hatten DSGVO-Verstöße bisher zu Bußgeldbescheiden beispielsweise in Höhe von 14,5 Millionen Euro gegen die Deutsche Wohnen SE und 9,5 Millionen gegen 1&1 geführt.

H&M hat zwei Wochen Zeit, um Einspruch gegen die Entscheidung einzulegen.

pbe