35,3 Millionen Euro Bußgeld gegen H&M

Das jüngste Beispiel, welches ein Bußgeld nach sich zog, zeigte wieder einmal, wie wichtig es ist, dem Datenschutz Beachtung zu schenken. Ein Bußgeld wäre nicht verhängt worden, wenn selbige Firma nicht unnötige Informationen über Beschäftigte gesammelt hätte. Wir reden von den 35,3 Millionen Euro Bußgeld gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG. In diesem Fall geht es speziell um das Service-Center in Nürnberg. – Die Pressemitteilung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit können Sie hier lesen. –

Die Ausgangssituation

H&M verfolgte die Praktik, möglichst viel Informationen über die Beschäftigten zu sammeln. Dafür nutzte das Unternehmen verschiedene Optionen. So manche Führungskraft gelangte an diese Daten durch Gespräche, beispielsweise in den Gängen, wo Beschäftigte eventuell ein kleines „Schwätzchen“ zwischendurch halten könnten oder sogar in Einzelgesprächen.

Kam ein Beschäftigter aus dem Urlaub oder nach einer Krankheit zurück, wurde ein Gespräch mit diesem einberufen. H&M nannte dies ein „Welcome back“-Gespräch. Dabei sprach man über die Urlaubserlebnisse oder eben über die Krankheit inklusive der Diagnosen etc. Hierbei handelt es sich um personenbezogene Daten besonderer Kategorien (Art. 9 Abs. 1 DSGVO), deren Rechtsgrundlage zur Erfassung besonders unter die Lupe genommen werden sollte.

Die Entdeckung

Teilweise hielt H&M diese Informationen über die Beschäftigten fest und speicherte sie digital. Generell waren es wohl die Team-Leiter, die die Einzelgespräche führten. Die Details waren dann für die Führungskräfte einsehbar. Zu diesen Führungskräften zählte das Unternehmen bis zu 50 Personen. Durch einen Konfigurationsfehler waren im Oktober 2019 genau diese Notizen unternehmensweit einsehbar. Zwar nur für ein paar Stunden, aber dies reichte, dass die Aufsichtsbehörde mittels Presseberichten davon Kenntnis erlangen konnte.

Der weitere Vorgang

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit ordnete an, das Laufwerk mit diesen Informationen über die Beschäftigten „einzufrieren“. Anschließend verlangte er die Herausgabe. Die Größe der gesammelten Informationen betrug rund 60 Gigabyte. Neben der Analyse der Dateien bestätigten zahlreiche Personen in Vernehmungen H&Ms Vorgehensweisen.

Einbindung des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit

Einige mögen sich fragen, weshalb der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit bei diesem Vorfall eingebunden worden ist. Es geht ja schließlich um das Service-Center in Nürnberg. Der Grund liegt darin, dass die Gesellschaft ihren Sitz in Hamburg hat. Es wäre allerdings auch rechtens gewesen, die Beschwerde beim Bayerischen Landesbeauftragten für den Datenschutz einzureichen (siehe Art. 77 DSGVO). Dieser hätte es dann an den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit weitergeleitet.

Die Problematik

Im Allgemeinen liegt hier ein Fall von Missachtung des Beschäftigtendatenschutzes vor. Im Einzelnen könnten die Verstöße unter anderem wie folgt konkretisiert werden:

Verstoß gegen Art. 6 Abs. 1 lit. a) DSGVO i. V. m. § 26 Abs. 1 S. 1 BDSG

Die Verarbeitung personenbezogener Daten ist an Bedingungen gebunden. H&M benötigte die besagten personenbezogenen Daten nicht zur Erfüllung des Arbeitsvertrags. Sie sind auch nicht für die Durchführung des Beschäftigungsverhältnisses wichtig. Somit hätte das Unternehmen eine Einwilligung nach Art. 6 Abs. 1 a) DSGVO einholen müssen, um die Verarbeitung dieser Daten zu erlauben.

Verstoß gegen Art. 9 Abs. 2 lit. a) DSGVO i. V. m. § 26 Abs. 1 S. 1 BDSG

Als Folge all dieser Gespräche konnte H&M sich ein umfassendes Wissen über das Privatleben der Beschäftigten aneignen. Dieses Wissen beinhaltet unter anderem Daten zu religiösen und weltanschaulichen Überzeugungen und Gesundheitsdaten. Generell ist es verboten, solche Daten – personenbezogene Daten besonderer Kategorien (Art. 9 Abs. 1 DSGVO) – zu verarbeiten. Insbesondere liegt auch kein Verarbeitungsgrund gemäß § 26 Abs. 3 BDSG vor. Benötigt ein Unternehmen solche Daten beispielsweise zur Erfüllung seiner Pflichten gegenüber dem Beschäftigten, ist es wiederum erlaubt. Allerdings: Die Verarbeitung dieser Daten bzw. die Informationen, die man sich zusätzlich eingeholt hatte, sind in dieser Situation für das Arbeitsverhältnis nicht vonnöten. Auch ist es für den Arbeitgeber nicht wichtig, zu wissen, weshalb ein Beschäftigter krank war.

Weitere Verstöße

Des Weiteren kann man annehmen, dass H&M gegen folgende Regelungen verstieß:

1) Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (Art. 13 DSGVO),

2) Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (Art. 14 DSGVO),

3) Beschränkung der Verarbeitung auf ein für die Zwecke notwendiges Maß (Art. 5 Abs. 1 c) DSGVO, mehr dazu auch im Beitrag „Grundsätze für die Verarbeitung personenbezogener Daten„).

4) Verantwortung des für die Verarbeitung Verantwortlichen (Art. 24 DSGVO),

5) Sicherheit der Verarbeitung (Art. 32 DSGVO)

6) Fehlende Löschfristen (Art. 5 Abs. 1 e) DSGVO),

7) Fehlende Information im Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO).

Die Höhe des Bußgeldes

Die 35,3 Millionen Euro Bußgeld, die gegen H&M verhängt worden sind, sollen eine abschreckende Wirkung haben. Man kann allerdings davon ausgehen, dass es weitaus höher hätte ausfallen können, H&M zeigte sich aber kooperativ.

Der Datenschutz ist ernst zu nehmen

Auch hier wird wieder mal offengelegt, dass der Datenschutz ernst zu nehmen ist. Wer also der Ansicht ist, man könne nicht von einem Bußgeld betroffen sein, sondern dass es immer andere trifft, liegt falsch. Ein Bußgeld kann über jedes Unternehmen verhangen werden, welches nicht datenschutzkonform agiert und wenn dies entdeckt wird. Ein Bußgeld ist dabei nicht die einzige Gefahr. Abmahnverfahren lauern. Schadenersatzansprüche können gestellt werden. Dass diese übrigens nicht zu unterschätzen sind, zeigt sich wohl bei H&M. Das Unternehmen plant aus eigener Initiative, den betroffenen Personen einen Schadenersatz auszuzahlen.

Ein Bußgeld kann hoch ausfallen und stellt eine reelle Gefahr für ein Unternehmen dar. Nach Art. 83 Abs. 5 DSGVO kann ein Bußgeld bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes betragen – je nachdem, welcher Betrag höher ist. Im Fall von H&M kommt noch erschwerend hinzu, dass besonders sensible personenbezogene Daten (Art. 9 Abs. 1 DSGVO) erhoben wurden.

In Angesicht dessen empfehlen wir dringendst, sich mit dem Datenschutz auseinanderzusetzen, sofern es nicht schon geschehen ist. Falls nicht, ist eine Analyse vorzunehmen, um die Prozesse, bei denen personenbezogene Daten verarbeitet werden, zu eruieren. Dabei ist auch das Risiko für die Rechte und Freiheiten natürlicher Personen zu bestimmen. Dies hilft auch, die umzusetzenden Maßnahmen zum Schutz dieser festzulegen. Die nötigen Dokumentationen wie das Verzeichnis von Verarbeitungstätigkeiten, Richtlinien, eine Leitlinie, Einwilligungen und Datenschutzhinweise sind zu erstellen. Des Weiteren ist zu überprüfen, ob Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO abgeschlossen werden müssen, möglicherweise auch Verträge zur gemeinsamen Verantwortlichkeit gemäß Art. 26 DSGVO.

Wenn all dies umgesetzt worden ist, muss es intern kommuniziert und aufrechterhalten werden. Zusätzlich sollte man dies in regelmäßigen Abständen neu evaluieren. Unternehmen wachsen und verändern sich. Der Datenschutz gleichermaßen.

Fazit

Wir verstehen, dass all dies überwältigend erscheinen kann. Um Risiken im Zusammenhang mit mangelndem Datenschutz möglichst zu entgehen, kontaktieren Sie uns. Wir beraten Sie gern dabei.