Privacy-Shield gekippt
Marva Pirweyssian

Die Modekette H&M ist vergangene Woche von der hamburgischen Datenschutzaufsichtsbehörde zur Zahlung einer Geldbuße in Höhe von 35,3 Millionen Euro verpflichtet worden. Dabei handelt es sich um das höchste Bußgeld, dass bis jetzt seit Inkrafttreten der DSGVO in Deutschland verhängt wurde.

Die Hintergründe

Grund für das verordnete Bußgeld war laut Angaben des hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) die systematische Beobachtung von Mitarbeitern und die anschließende Datenerfassung in einem H&M Servicecenter in Nürnberg. Dort wurden der Pressemitteilung zufolge die eigenen Mitarbeiter durch vermeintlich harmlose Gespräche mit Teamleitern dazu verleitet, über ihre familiären Hintergründe, soziale Umstände oder vergangene Urlaube zu sprechen. Diese Informationen seien detailliert festgehalten und in einem Netzlaufwerk dauerhaft gespeichert worden. Das gesammelte Wissen über die Arbeitnehmer sei von bis zu 50 Führungspersonen einsehbar gewesen und reichte nach Aussagen der Datenschutzaufsichtsbehörde von einfachen Informationen bis hin zu Angaben über Glaubenszugehörigkeiten oder Krankheiten. Mithilfe dieser Daten habe die Führungsetage individuelle Profile über Mitarbeiter erstellt, um in Kombination mit ihrer jeweiligen Arbeitsleistung relevante Entscheidungen zu treffen. Aufgeflogen ist die Datenschutzverletzung offenbar nur, weil aufgrund eines internen Konfigurationsfehlers die gesammelten Notizen für das gesamte H&M Unternehmen wenige Stunden zugänglich waren und dies an die Datenschutzbehörde durchgesickert ist.

Verstöße im Ausland

In anderen Staaten werden Bußgelder jedoch nicht nur häufiger, sondern auch in der Summe erheblich höher verhängt. Insgesamt haben die EU-Mitgliedsstaaten nach der Einführung der DSGVO eine halbe Milliarde Euro eingenommen, Spitzenreiter ist Großbritannien mit 315,3 Millionen Euro eingeforderten Bußgeldern. Deutschland hatte zum Vergleich bis jetzt eine Bußgeldsumme von leidglich 26,4 Millionen Euro vorzuweisen. Die Briten haben außerdem die zurzeit mit Abstand höchste Bußgeldszahlung verlangt: Im vergangenen Jahr musste die Fluggesellschaft British Airways 204 Millionen Euro zahlen, da sie es durch Sicherheitsmängel bei der Onlinebuchung Hackern zu einfach möglich gemacht hatte an ca. 500.000 Kundendaten zu gelangen. Somit sind sensible personenbezogene Daten der Betroffenen unbefugt an Dritte gelangt. Grund für die deutliche Differenz in der Bußgeldhöhe zwischen Deutschland und dem vereinigten Königreich  ist der Umstand, dass der erlaubte Bußgeldrahmen bei massiven Verstößen in einem Unternehmen entweder bis zu 20 Millionen Euro oder maximal 4% des Jahresumsatzes beträgt und hierzulande dieses Potenzial bisher nicht ausgeschöpft wurde.

Schadensbegrenzung bei H&M

H&M hat seinen Arbeitnehmern neben einer Entschuldigung auch eine finanzielle Schadenskompensation angeboten. Des Weiteren wird nun intern an einem verbesserten Datenschutzkonzept gefeilt.

Wenn Sie Fragen zur DSGVO haben und rechtliche Hilfe suchen helfen wir Ihnen gerne weiter! Sie können uns telefonisch unter 0511 374 98 150 oder per E-Mail unter kontakt@recht-im-internet.de erreichen.