H&M späht Mitarbeitende aus: 35,3 Millionen Euro Bußgeld

Hamburg dpa | Gesundheitsdaten, familiäre Streitigkeiten, Urlaubserlebnisse - was über die Mitarbeitenden eines Callcenters des Modeunternehmens H&M gespeichert wurde, ist nach Ansicht des obersten Hamburger Datenschützers beispiellos. Die Hamburger Aufsichtsbehörden verhängten deshalb nun ein Bußgeld von 35,3 Millionen Euro gegen den schwedischen Konzern.

Mit der Überwachung von Hunderten Mitarbeitenden des Servicecenters in Nürnberg habe der Konzern gegen den Datenschutz verstoßen, begründete der Hamburgische Beauftragte für Datenschutz, Johannes Caspar, am Donnerstag den Erlass. Der vorliegende Fall dokumentiere eine schwere Missachtung des Beschäftigtendatenschutzes. „Das verhängte Bußgeld ist dementsprechend in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken“, so Caspar.

Der Fall liegt in der Zuständigkeit des Hamburgischen Beauftragten für Datenschutz, weil das Unternehmen seine Deutschlandzentrale in der Hansestadt hat.

Bekanntgeworden war der Fall im vergangenen Jahr. Laut Behörde wurden mindestens seit 2014 bei einem Teil der Beschäftigten in dem Servicecenter Angaben zu ihren privaten Lebensumständen umfangreich erfasst und gespeichert. Nach Urlaubs- und Krankheitsabwesenheiten hätten Vorgesetzte einen „Welcome Back Talk“ geführt und anschließend in etlichen Fällen nicht nur konkrete Urlaubserlebnisse, sondern auch Krankheitssymptome und Diagnosen dokumentiert.

Jede Menge Detailwissen über Privates

Einige Vorgesetzte hätten sich auch „über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden angeeignet, das von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen reichte“, hieß es in der Begründung. Bekannt geworden waren die Übergriffe dadurch, dass die Notizen infolge eines Konfigurationsfehlers im Oktober 2019 für einige Stunden unternehmensweit zugreifbar waren.

Ausdrücklich positiv bewertete Caspar das Bemühen der Konzernleitung, „die Betroffenen vor Ort zu entschädigen und das Vertrauen in das Unternehmen als Arbeitgeber wiederherzustellen“. Darin sei durchaus der Wille zu erkennen, „den Betroffenen den Respekt und die Wertschätzung zukommen zu lassen, die sie als abhängig Beschäftigte in ihrem täglichen Einsatz für ihr Unternehmen verdienen“.

Nachdem der Bescheid am Donnerstag öffentlich geworden war, ließ H&M erklären, dass der Umgang mit den Beschäftigtendaten „nicht mit den H&M-Richtlinien und Anweisungen in Einklang stehe“. Man übernehme die volle Verantwortung und entschuldige sich vorbehaltlos bei den betroffenen Mitarbeitern. Außerdem habe die interne Kontrolle des Datenschutzes gestärkt und Führungskräfte sowie Mitarbeitende geschult.

Den konkreten Bußgeldbescheid allerdings will man im Unternehmen erst noch prüfen.