Artikel drucken
02.10.2020

DSGVO: Rekordbußgeld gegen DLA-Mandantin H&M

Jetzt wird es teuer: Gestern verhängte der Hamburger Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Johannes Caspar gegen H&M ein Bußgeld in Rekordhöhe. Knapp 35,3 Millionen Euro muss die Modekette berappen, weil sie über Jahre private Daten über mehrere hundert Mitarbeiter im Servicecenter Nürnberg sammelte.

Johannes Caspar

Johannes Caspar

Damit wird das in Deutschland bisher höchste verhängte Bußgeld nach Inkrafttreten der Datenschutzgrundverordnung, DSGVO, fällig. Die Deutsche Wohnen soll 14,5 Millionen zahlen, 1&1 wurde mit 9,5 Millionen Euro zur Kasse gebeten. H&M hatte sich in der Angelegenheit ein Hamburger Team von DLA Piper, unter anderem Verena Grentzenberg und Dr. Michael Stulz-Herrnstadt, an die Seite geholt sowie mit Dr. Flemming Moos einen Datenschutzexperten des Hamburger Büros von Osborne Clarke.

Die vergleichsweise hohe Summe ist wenig verwunderlich: Seit 2014 hatte das Unternehmen im Servicecenter in Nürnberg systematisch Daten über private Lebensumstände gesammelt und auf einem Netzlaufwerk gespeichert, auf das rund 50 Führungskräfte Zugriff hatten. Nach Abwesenheiten wegen Urlaub oder Krankheit führten die Team-Verantwortlichen sogenannte Welcome-Back-Gespräche und hielten anschließend sämtliche Details im System fest. So entstanden über die Jahre sehr persönliche Profile über die jeweiligen Mitarbeiter, die als Grundlage für unternehmerische Entscheidungen dienten. Laut der Hamburger Behörde führte das zu einem „besonders intensiven Eingriff in die Rechte der Betroffenen“.

Das Ganze flog auf, als aufgrund eines Systemfehlers im Oktober vergangenen Jahres alle Daten unternehmensweit einsehbar waren. Nach Presseberichten über den Vorfall ließ sich Behördenleiter Caspar den Inhalt des Netzlaufwerkes, rund 60 Gigabyte, aushändigen. H&M legte im Zuge der Zusammenarbeit mit der Behörde ein umfassendes Datenschutzkonzept vor, das nun in Nürnberg umgesetzt werden soll. Dazu sollen ein neu berufener Datenschutzkoordinator genauso gehören wie monatliche Datenschutz-Status-Updates, ein verstärkt kommunizierter Whistleblower-Schutz sowie ein Auskunftskonzept. Obendrein hatte die Behörde angeregt, dass sich der Konzern neben einer Entschuldigung auch mit einem „unbürokratischen Schadensersatz in beachtlicher Höhe“ erkenntlich zeigen solle, was der Konzern zusagte.

Wie hoch diese Summe sein wird, ist nicht bekannt. Allerdings könnte sich die Gesamtsumme für H&M dadurch noch einmal deutlich erhöhen. Zum Vergleich: Im Sommer verdonnerte das Arbeitsgericht Düsseldorf ein Unternehmen zu einer Schadensersatzzahlung über 5.000 Euro an einen ehemaligen Mitarbeiter – und zwar weil das Unternehmen verspätet und nicht vollständig auf einen Auskunftsantrag geantwortet hatte. Bei H&M sind mehrere hundert Mitarbeiter betroffen und der Eingriff auf deren Rechte von anderem Kaliber.

Der umfangreiche Maßnahmenkatalog des Konzerns wird die Bußgeldsumme, so sieht es die DSGVO vor, gedrückt haben. Zumal Behördenleiter Caspar ausdrücklich konstatierte: „Die transparente Aufklärung und die Gewährleistung einer finanziellen Kompensation zeigen durchaus den Willen, den Betroffenen den Respekt und die Wertschätzung zukommen zu lassen, den sie als abhängig Beschäftigte in ihrem täglichen Einsatz für ihr Unternehmen verdienen.“

H&M kündigte an, den nun ergangenen Beschluss sorgfältig zu prüfen. Datenschutzexperten hingegen gehen eher nicht davon aus, dass der Konzern dagegen angehen wird – anders etwa als 1&1, deren Bußgeld-Prozess vor dem Landgericht Bonn kommenden Mittwoch beginnt. Für H&M hätte es noch deutlich teurer werden können. Die DSGVO sieht für Unternehmen dieser Größe einen theoretischen Rahmen von vier Prozent des Jahresumsatzes vor. Bei H&M lag der zuletzt weltweit bei 22,1 Milliarden Euro. (Eva Flick)

  • Teilen