News
/ 06. Oktober 2020

35 Millionen Euro Bußgeld für H&M: Modekonzern spähte Mitarbeiter aus

Vom Urlaubserlebnis bis hin zu familiären Problemen: Im Nürnberger Servicecenter des schwedischen Modekonzerns Hennes & Mauritz (H&M) horchte die Center-Leitung systematisch mehrere hundert Mitarbeiter aus und speicherte intime Informationen.

Der Datenschutzverstoß kommt den Modeanbieter jetzt teuer zu stehen. Die Deutschlandzentrale des Moderiesen H&M sitzt in Hamburg.

Die massiven Verstöße gegen den Datenschutz im Servicecenter liegen deshalb in der Zuständigkeit des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) Prof. Dr. Johannes Caspar.

Dieser schickte H&M einen Bußgeldbescheid in Höhe von 35.258.707,95 Euro wegen Verstößen gegen den Datenschutz.

Update: Am 15.10.2020 vermeldete der NDR, dass H&M keinen Widerspruch gegen die Geldbuße  einlegt. Damit ist der Bußgeld-Bescheid rechtskräftig.

So spähte H&M seine Mitarbeiter aus

Mitarbeiter des Nürnberger H&M-Servicecenters wurden mindestens seit dem Jahr 2014 systematisch ausgespäht. Kamen sie nach einem Urlaub oder längerer Krankheit an ihren Arbeitsplatz zurück, führten die vorgesetzten Teamleader einen sogenannten „Welcome Back Talk“ mit ihnen.

Was sich nett anhört, diente dem Ausspähen privater Details. Die Vorgesetzten zeichneten die Erkenntnisse auf und speicherten sie digital ab. Und so konnten bis zu 50 weitere Führungskräfte im ganzen Haus lesen, wer

  • gerade wo im Urlaub gewesen ist und was er dort erlebt hat,
  • an einer Krankheit leidet und welche Symptome auftreten,
  • familiäre Probleme hat,
  • sich politisch oder religiös engagiert.

Darüber hinaus werteten die Vorgesetzten akribisch die derzeitige Leistung der Angestellten aus. Das Ergebnis: umfangreiche Profile über das Privat- und Arbeitsleben der Beschäftigten, die auch als Grundlage für Entscheidungen im Arbeitsverhältnis dienten.

Panne offenbart die skandalösen Praktiken

Im Oktober 2019 trat ein Konfigurationsfehler im IT-System von H&M auf und führte dazu, dass die brisanten Daten mehrere Stunden lang unternehmensweit sichtbar waren. Empörte Mitarbeiter informierten die Presse.

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit ordnete daraufhin sofort an, den Inhalt des Netzlaufwerks einzufrieren. Er verlangte die Herausgabe der Daten und leitete ein Bußgeldverfahren ein.

Der schwedische Modekonzern kam der Aufforderung nach und legte dem HmbBfDI einen Datensatz von rund 60 Gigabyte zur Auswertung vor. Die Analyse der Daten – und Vernehmungen zahlreicher Zeugen – bestätigten die dokumentierten Praktiken.

Datenschutzbehörde spricht von „schwerer Missachtung“

Der vorliegende Fall dokumentiert eine schwere Missachtung des Beschäftigtendatenschutzes am H&M-Standort Nürnberg“, betont Prof. Dr. Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit.

Er verhängte einen Bußgeldbescheid in Höhe von 35.258.707,95 Euro – und damit das bisher höchste Bußgeld in Deutschland seit Inkrafttreten der Europäischen Datenschutz-Grundverordnung im Mai 2018. „Das verhängte Bußgeld ist dementsprechend in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken“, so Caspar weiter.

Gleichzeitig lobt der HmbBfDI die transparente Aufklärung seitens der Verantwortlichen bei H&M und das das Bemühen der Konzernleitung, die Betroffenen vor Ort zu entschädigen und das Vertrauen in das Unternehmen als Arbeitgeber wiederherzustellen.

H&M übernimmt Verantwortung

H&M übernimmt die volle Verantwortung und möchte den Nürnberger Mitarbeitern eine vorbehaltlose Entschuldigung aussprechen“, heißt es in einer Pressemitteilung des Modekonzerns.

Das Unternehmen folgt auch der Anregung, den Beschäftigten einen unbürokratischen Schadenersatz in beachtlicher Höhe auszuzahlen – und es führt ein neues Datenschutzkonzept ein mit neu berufenem Datenschutzkoordinator, monatlichen Datenschutz-Statusupdates und einem konsistenten Auskunfts-Konzept.

Allerdings heißt es in der Pressemitteilung auch: „H&M hat eine Entscheidung von der Hamburger Datenschutzbehörde erhalten, mit der ein Bußgeld in Höhe von 35 Mio. Euro verhängt wird. Das Unternehmen wird diesen Beschluss nun sorgfältig prüfen.“

Elke Zapf