Categories: Allgemein

Rekordbußgeld wegen Datenschutzverstößen: H&M muss 35 Millionen Euro zahlen

Die Modekette H&M ist vergangene Woche von der hamburgischen Datenschutzaufsichtsbehörde zur Zahlung einer Geldbuße in Höhe von 35,3 Millionen Euro verpflichtet worden. Dabei handelt es sich um das höchste Bußgeld, dass bis jetzt seit Inkrafttreten der DSGVO in Deutschland verhängt wurde.

Die Hintergründe

Grund für das verordnete Bußgeld war laut Angaben des hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) die systematische Beobachtung von Mitarbeitern und die anschließende Datenerfassung in einem H&M Servicecenter in Nürnberg. Dort wurden der Pressemitteilung zufolge die eigenen Mitarbeiter durch vermeintlich harmlose Gespräche mit Teamleitern dazu verleitet, über ihre familiären Hintergründe, soziale Umstände oder vergangene Urlaube zu sprechen. Diese Informationen seien detailliert festgehalten und in einem Netzlaufwerk dauerhaft gespeichert worden. Das gesammelte Wissen über die Arbeitnehmer sei von bis zu 50 Führungspersonen einsehbar gewesen und reichte nach Aussagen der Datenschutzaufsichtsbehörde von einfachen Informationen bis hin zu Angaben über Glaubenszugehörigkeiten oder Krankheiten. Mithilfe dieser Daten habe die Führungsetage individuelle Profile über Mitarbeiter erstellt, um in Kombination mit ihrer jeweiligen Arbeitsleistung relevante Entscheidungen zu treffen. Aufgeflogen ist die Datenschutzverletzung offenbar nur, weil aufgrund eines internen Konfigurationsfehlers die gesammelten Notizen für das gesamte H&M Unternehmen wenige Stunden zugänglich waren und dies an die Datenschutzbehörde durchgesickert ist.

Verstöße im Ausland

In anderen Staaten werden Bußgelder jedoch nicht nur häufiger, sondern auch in der Summe erheblich höher verhängt. Insgesamt haben die EU-Mitgliedsstaaten nach der Einführung der DSGVO eine halbe Milliarde Euro eingenommen, Spitzenreiter ist Großbritannien mit 315,3 Millionen Euro eingeforderten Bußgeldern. Deutschland hatte zum Vergleich bis jetzt eine Bußgeldsumme von leidglich 26,4 Millionen Euro vorzuweisen. Die Briten haben außerdem die zurzeit mit Abstand höchste Bußgeldszahlung verlangt: Im vergangenen Jahr musste die Fluggesellschaft British Airways 204 Millionen Euro zahlen, da sie es durch Sicherheitsmängel bei der Onlinebuchung Hackern zu einfach möglich gemacht hatte an ca. 500.000 Kundendaten zu gelangen. Somit sind sensible personenbezogene Daten der Betroffenen unbefugt an Dritte gelangt. Grund für die deutliche Differenz in der Bußgeldhöhe zwischen Deutschland und dem vereinigten Königreich  ist der Umstand, dass der erlaubte Bußgeldrahmen bei massiven Verstößen in einem Unternehmen entweder bis zu 20 Millionen Euro oder maximal 4% des Jahresumsatzes beträgt und hierzulande dieses Potenzial bisher nicht ausgeschöpft wurde.

Schadensbegrenzung bei H&M

H&M hat seinen Arbeitnehmern neben einer Entschuldigung auch eine finanzielle Schadenskompensation angeboten. Des Weiteren wird nun intern an einem verbesserten Datenschutzkonzept gefeilt.

Wenn Sie Fragen zur DSGVO haben und rechtliche Hilfe suchen helfen wir Ihnen gerne weiter! Sie können uns telefonisch unter 0511 374 98 150 oder per E-Mail unter kontakt@recht-im-internet.de erreichen.


Marva Pirweyssian

Recent Posts

EuGH: Arzneimittelverkauf über Amazon Marketplace nur mit ausdrücklicher Datenschutzeinwilligung

Der Europäische Gerichtshof (EuGH) hat am 4. Oktober 2024 eine wegweisende Entscheidung zum Verkauf von…

2 Wochen ago

Data Act: Datenkontrolle im Wandel

Der Data Act der Europäischen Union (EU) ist bereits am 11. Januar 2024 in Kraft…

2 Monaten ago

Rechtspflichten für Cannabis Social-Clubs: Welche Vorschriften es für Anbauvereinigungen nach dem Cannabisgesetz zu beachten gilt

Bild: Generiert mit Midjourney von Joerg Heidrich Seit der Legalisierung des Cannabiskonsums durch Inkrafttreten des…

7 Monaten ago

Erste Entscheidung in Deutschland zur unternehmensinternen Nutzung von ChatGPT

Bild: Generiert mit Midjourney von Joerg Heidrich Das Arbeitsgericht Hamburg hat in einem Fall, bei…

9 Monaten ago

Das EU-US Data Privacy Framework – ein neuer sicherer Hafen?

Die europäische Kommission hat am 10. Juli den Angemessenheitsbeschluss für den Datenschutzrahmen zwischen der EU…

1 Jahr ago

Bedeutung von KI-Richtlinien für Unternehmen

Bild: Generiert mit Midjourney von Joerg Heidrich Die Existenz der zahlreichen und sogar kostenlos nutzbaren…

1 Jahr ago