Datenschutz und Großkonzerne

Die Pressemitteilung vom obersten Hamburger Datenschützer vom 01.10.2020 (Pressemitteilung) berichtet über einen Bußgeld nach DSGVO in Höhe von 35 Millionen gegen H&M. Wir möchten uns den Vorgang, soweit Informationen veröffentlicht sind, näher ansehen und die praktischen Auswirkungen abschätzen.

Datenschutzverstöße und Bußgeld

Was war passiert, dass ein Bußgeld nach DSGVO verhängt wurde? Wir zitieren dazu wörtlich aus der Pressemitteilung:

„Seit dem Jahr 2014 kam es bei einem Teil der Beschäftigten zu umfangreichen Erfassungen privater Lebensumstände. Entsprechende Notizen wurden auf einem Netzlaufwerk dauerhaft gespeichert. Nach Urlaubs- und Krankheitsabwesenheiten – auch kurzer Art – führten die vorgesetzten Teamleader einen sogenannten Welcome Back Talk durch. Nach diesen Gesprächen wurden in etlichen Fällen nicht nur konkrete Urlaubserlebnisse der Beschäftigten festgehalten, sondern auch Krankheitssymptome und Diagnosen. Zusätzlich eigneten sich einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden an, das von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen reichte. Die Erkenntnisse wurden teilweise aufgezeichnet, digital gespeichert und waren mitunter für bis zu 50 weitere Führungskräfte im ganzen Haus lesbar. Die Aufzeichnungen wurden bisweilen mit einem hohen Detailgrad vorgenommen und im zeitlichen Verlauf fortgeschrieben. Die so erhobenen Daten wurden neben einer akribischen Auswertung der individuellen Arbeitsleistung u.a. genutzt, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten. Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte zu einem besonders intensiven Eingriff in die Rechte der Betroffenen.“

Hier sind Daten von Beschäftigten, die nicht dem Vertragszweck dienen, erhoben und verarbeitet worden. Ein Verstoß gegen § 26 Abs. 1 Satz 1, Abs 3, Abs. 5 BDSG, Art. 6 DSGVO ist die Konsequenz. Das Profiling mit unter anderem sensiblem Daten, wie die religiöse Zugehörigkeit, verstößt gegen Art. 22 DSGVO. In Art 83 DSGVO sind diese Normen für die Verhängung der hohen Bußgelder enthalten.

Fehlerhafte IT

Wie hat die Behörde Wind von der Sache bekommen? Dazu die Pressemitteilung:

„Bekannt wurde die Datenerhebung dadurch, dass die Notizen infolge eines Konfigurationsfehlers im Oktober 2019 für einige Stunden unternehmensweit zugreifbar waren. Nachdem der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit über die Datensammlung durch Presseberichte informiert wurde…“

Die Presse war es also könnte man aus Sicht von H&M denken oder vielmehr die eigene IT-Verantwortlichen. Hier stellt sich die spannende Frage, ob die Konzernleitung als Verantwortliche Regressansprüche gegen die IT-Verantwortlichen hätte. Dies macht Sinn, wenn es sich um eine externe Firma handelt. Jedenfalls wird deutlich, dass Fehler in der IT vorkommen können. Daher ist es besser, man achtet auf den Datenschutz.

Praktische Auswirkungen

Ausweislich des Presseberichtes hat die Konzernleitung Schadensersatz an die Mitarbeiter gezahlt und mit der Behörde kooperiert. Andernfalls wären der Schaden bzw. das Bußgeld nach DSGVO noch höher. Jetzt gibt es vermehrt Berichte, dass die Datenschutzbehörden nur die großen Unternehmen ins Visier nehmen. Hierzu möchten wir folgendes anmerken. Zum einen ist in der Tat die Hamburger Datenschutzbehörde durch die Presse auf den Vorfall aufmerksam geworden. Im Zweifel sind kleinere Unternehmen nicht so häufig in der Presse. Damit muss man nicht viel befürchten. Das finden wir nicht. Es reicht, dass ein verärgerter Kunde, Exmitarbeiter oder anonymer Freund der Behörde ein anonymes Schreiben zusendet, um selbst überprüft zu werden. Auf der sicheren Seite ist man, wenn der Datenschutz beachtet wird.

Anwalt für Datenschutz

Wenn Sie Fragen zum Datenschutz haben, dann können Sie uns telefonisch unter 069 405 64 282 telefonisch erreichen oder per E-Mail an info@rechtsanwalt-dsgvo.de

Ihr Rechtsanwalt für Datenschutz und zertifizierter Datenschutzbeauftragter in Frankfurt am Main und bundesweit

Rufen Sie uns an!

Beitragsbild: Goh Rhy Yan