1. Oktober 2020 - Den Negativ-Preis BigBrotherAward hat H&M Mitte September bereits zuerkannt bekommen, jetzt kommt noch ein Bußgeldbescheid vom Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit hinzu. Genau 35.258.707,95 Euro verlangt die Behörde von der H&M Hennes & Mauritz Online-Shop A.B. & Co. KG. Der Grund: In einem Service-Center in Nürnberg wurden Daten aus privaten Gesprächen von Führungskräften mit Mitarbeiter*innen in einem Netzlaufwerk gespeichert.
Dort wurden unter anderem Urlaubserlebnisse von Beschäftigten festgehalten, aber auch Details zu Krankheiten und Diagnosen. Sie stammten aus so genannten „Welcome Back Talks", die Führungskräfte mit den Beschäftigten nach deren urlaubs- oder krankheitsbedingten Abwesenheiten geführt hatten. Hinzu kamen Details aus dem Privatleben, von denen die Führungskräfte über Einzel- oder Flurgespräche erfahren hatten. Dazu zählten auch Familienprobleme oder religiöse Bekenntnisse. Zu lesen waren diese Daten von bis zu 50 weiteren Führungskräften, gesammelt wurden sie mindestens von 2014 an.
„Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führt zu einem besonders intensiven Eingriff in die Rechte der Betroffenen", heißt es in einer Pressemitteilung der Behörde. Bekannt geworden war die Sammelwut durch eine technische Panne. Für mehrere Stunden konnte 2016 unternehmensweit auf die Daten zugegriffen werden. H&M hatte daraufhin mit verschiedenen Maßnahmen Abhilfe geschaffen, sich bei den Betroffenen ausdrücklich entschuldigt und auch Schadenersatz gezahlt. „In beträchtlicher Höhe", wie es in der Pressemitteilung des Hamburgischen Datenschutzbeauftragten heißt. Er nennt die Reaktion ein „bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß".
Das jetzt verhängte Bußgeld soll Unternehmen von der Verletzung der Privatsphäre ihrer Beschäftigten abschrecken. In Deutschland ist es das höchste bislang wegen Datenschutzverstößen verhängte Bußgeld. H&M hat jetzt zwei Wochen lang Zeit, den Bescheid zu prüfen. Möglich werden solch hohe Summen durch die Datenschutzgrundverordnung (DSGVO), die im Mai 2018 in Kraft getreten ist.
Mitte September hatte H&M für seine Datensammelwut bereits den BigBrotherAward in der Kategorie „Arbeitswelt" bekommen. Mit diesem Preis werden seit 20 Jahren Feinde des Datenschutzes und so genannte Datenkraken ausgezeichnet.
Mehr zu den Preisträger*innen 2020
Update 15. Oktober 2020: Nach einem Zeitungsbericht hat H&M darauf verzichtet, Widerspruch einzulegen. Damit ist die Forderung des Hamburgischen Datenschutzbeauftragten rechtskräftig