H&M muss 35,25 Mio. und damit das bisher höchste DSGVO-Bußgeld wegen schwerwiegender Verstöße gegen den Beschäftigtendatenschutz zahlen

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit („HmbBfDI“) hat ein Bußgeld in Höhe von EUR 35.258.707,95 gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG mit Sitz in Hamburg („H&M“) verhängt. Anlass war eine umfangreiche Überwachung und dauerhafte Speicherung personenbezogener Daten mehrerer hundert Beschäftigter bei H&M und damit ein schwerwiegender Verstoß gegen den Beschäftigtendatenschutz durch unrechtmäßige Ausspähung. Es handelt sich damit um das bisher höchste Bußgeld dieser Art in Deutschland. Bei der Bemessung des Bußgelds wurde dabei schon das Bemühen der Konzernleitung zur Entschädigung der betroffenen Personen und die transparente Aufklärung und Mitwirkung seitens H&M berücksichtigt.

1. Was ist passiert?

Ausweislich der Pressemitteilung des HmbBfDI vom 1. Oktober 2020 erfasste H&M am Servicecenter-Standort in Nürnberg mindestens seit dem Jahr 2014 von einem Teil der Beschäftigten umfangreiche private Lebensumstände. Zu dem Zweck der Anfertigung dieser Notizen führten die Vorgesetzten mit den Beschäftigten nach deren Rückkehr aus vorangegangenen Urlaubs- und Krankheitsabwesenheiten jeweils sog. „Welcome Back Talks“ durch. Dabei vermerkten die Vorgesetzten schriftlich in etlichen Fällen nicht nur konkrete Urlaubsereignisse der Beschäftigten, sondern ebenso Krankheitssymptome beziehungsweise ärztliche Diagnosen. Darüber hinaus erlangten Führungskräfte von H&M in Einzel- oder (zufälligen) Flurgesprächen Kenntnis von Informationen über das Privatleben der Beschäftigten, u.a. über familiäre Schwierigkeiten und/oder religiöse Bekenntnisse einzelner Beschäftigter. Diese Erkenntnisse wurden aufgezeichnet und digital auf einem Netzlaufwerk des Unternehmens dauerhaft gespeichert und konnten von bis zu 50 Führungskräften eingesehen werden. Die auf diese Weise erhobenen personenbezogenen Daten nutzten die Führungskräfte zur Aus- und Bewertung der Arbeitsleistung in Form einer Profilerstellung der jeweiligen Beschäftigten und als Anhaltspunkt für Maßnahmen und Entscheidungen im jeweiligen Arbeitsverhältnis. 

2. Unzulässige Ausforschung und Speicherung personenbezogener Beschäftigtendaten

Gemäß Art. 6 der Datenschutz-Grundverordnung („DSGVO“) muss die Verarbeitung personenbezogener Daten rechtmäßig erfolgen. Im vorliegenden Verfahren stellte die Erfassung und Ausforschung von privaten Lebensumständen von Beschäftigten, einschließlich Gesundheitsdaten im Sinne von Art. 9 Abs. 1 DSGVO, ebenso wie die dauerhafte Speicherung dieser Daten durch H&M ohne Vorliegen einer Einwilligung der Beschäftigten (Art. 6 Abs. 1 lit (a) bzw. Art. 9 Abs. 2 lit (a) DSGVO) eine unrechtmäßige Datenverarbeitung dar. Die Ausforschung und dauerhafte Speicherung von Beschäftigtendaten mit schwerwiegenden und besonders intensiven Eingriffen in die Persönlichkeitsrechte der Beschäftigten konnte auch nicht mit etwaigen berechtigten Interessen von H&M (Art. 6 Abs. 1 lit (f) DSGVO) gerechtfertigt werden. Zugleich stellte die Erfassung ein Verstoß gegen den Grundsatz der Speicherbegrenzung gemäß Art. 5 Abs. 1 lit. (e) DSGVO dar. Bezeichnend war ferner, dass mithilfe der verarbeiteten Beschäftigtendaten eine Aus- und Bewertung der Beschäftigten erfolgte und erfolgen sollte.

Bekannt wurde die rechtswidrige Datenverarbeitung dadurch, dass die gespeicherten Notizen infolge eines Konfigurationsfehlers im Oktober 2019 für einige Stunden unternehmensweit zugreifbar waren. H&M ließ sodann auf Anordnung des HmbBfDI den Inhalt des Netzwerklaufwerks vollständig „einfrieren“ und gab diesen in Form eines Datensatzes von rund 60 Gigabyte an den HmbBfDI heraus. Zudem untersuchte H&M die besagten unternehmensinternen Vorgänge und setzte ein umfassendes neues Konzept zur Wahrung datenschutzrechtlicher Vorgaben um. Das Datenschutzkonzept umfasst u.a. einen neu berufenen Datenschutzkoordinator, monatliche Datenschutz-Statusupdates, einen verstärkt kommunizierten Whisteblower-Schutz und ein konsistentes Auskunfts-Konzept.

3. Bemessung der Bußgeldhöhe im konkreten Fall

Gemäß Art. 83 Abs. 5 DSGVO können bei Verstößen gegen die Datenschutzvorschriften gemäß Art. 5 Abs. 1 lit. (e), Art. 6 bzw. Art. 9 DSGVO im Einklang mit Art. 83 Abs. 2 DSGVO Geldbußen von bis zu EUR 20. Mio. bzw. bis zu 4 % des weltweiten Jahresumsatzes verhängt werden, je nachdem, welcher der vorgenannten Beträge höher ist.

Zur Berechnung der Bußgeldhöhe im konkreten Einzelfall haben sich die deutschen Datenschutzbehörden im vergangen Jahr auf ein kompliziertes, mehrstufiges Bußgeldkonzept geeinigt (vgl. auch den DSGVO-Bußgeldrechner von TW). Dieses Konzept ist nicht unumstritten. Bereits in den vorangegangenen Monaten war zu bemerken, dass die Datenschutzbehörden dazu übergegangen sind, auf dieser Grundlage empfindliche Geldbußen zu verhängen. Besonders hervorzuheben sind die Ende 2019 verhängten Bußgelder gegen die Immobiliengesellschaft Deutsche Wohnen SE wegen anlassloser Weiterspeicherung von personenbezogenen Daten in Höhe von EUR 14,5 Mio. sowie das gegen den Telekommunikationsdienstleister 1&1 Telecom GmbH wegen unzureichender Umsetzung von technischen und organisatorischen Maßnahmen in Höhe von EUR 9,55 Mio. Auch das nun gegen H&M verhängte Bußgeld in Höhe von ca. EUR 35,25 Mio. bewegt sich ebenfalls im erhöhten Bereich und stellt das bislang höchste in Deutschland verhängte Bußgeld dar.

Ziel des erhöhten Bußgeldes war es nach Aussagen des HmbBfDI, „Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken“. Positiv berücksichtigt wurde bei der Bemessung aber, dass nach Bekanntwerden der Vorfälle sämtliche internen Abläufe überprüft und neu angepasst wurden. Ausdrücklich betont wurde zudem, dass die Konzernleitung sich neben einer Entschuldigung bei den betroffenen Beschäftigten um deren finanzielle Entschädigung bemüht

hat, um das Vertrauen in das Unternehmen als Arbeitgeber wiederherzustellen.

4. Bewertung

Das gegen H&M verhängte Bußgeld verdeutlicht erneut, dass die Datenschutzbehörden in Deutschland nicht davor zurückschrecken, Datenschutzverstöße durch für den Einzelnen empfindliche und abschreckende, aber auch general-präventive Geldbußen zu ahnden.

Besonderes Augenmerk kommt weiterhin dem Umstand zu, dass die Datenschutzbehörden offenkundig der Reaktion des Verantwortlichen, sei es das sofortige Einstellen der beanstandeten Datenschutzverletzung, das Bemühen um Wiedergutmachung bei den betroffenen Personen oder aber eine transparente und umfassende Kooperation mit den Datenschutzbehörden, einen nicht zu unterschätzenden Stellenwert beimessen.

Ob das von den Datenschutzbehörden zur Berechnung der Bußgeldhöhe entwickelte Bußgeldkonzept auch zukünftig Bestand haben wird, steht aktuellen im „1&1-Bußgeld-Prozess“ vor dem Landgericht Bonn auf dem Prüfstand. Ein zentraler Punkt der Verteidigung, mit der das gegen 1&1 verhängte Bußgeld angegriffen werden soll, richtet sich gegen den Umstand, dass das Bußgeldkonzept stets zu überhöhten Bußgeldern führen und somit bei nicht schwerwiegenden Verstöße keinen Raum mehr für geringere Bußgelder bieten würde. Beim 1&1-Bußgeld habe das Bußgeldkonzept deshalb zu einer unverhältnismäßigen Bußgeldhöhe geführt.

Es bleibt abzuwarten, ob das Bußgeldkonzept auch künftig Bestand haben wird. In jedem Fall sollten Unternehmen aber weiterhin alles daran setzen, ihre Datenschutzpraxis regelmäßig zu überprüfen und eine systematische Compliance anzustreben, damit die von der DSGVO geforderte Rechenschaftspflicht erfüllt werden und es gar nicht erst zu einem bußgeldbewerten Datenschutzverstoß kommen kann.

Zur Unterstützung hierfür einige Aspekte aus unserem „Reality Check“:

• Gibt es ein funktionierendes, technisch umgesetztes Löschkonzept, wie z.B. für Speicherung von Beschäftigtendaten?
• Gibt es klare Datenschutz-Verantwortlichkeiten?
• Ist die Verarbeitungsübersicht auf dem aktuellen Stand? Wer ist für die Pflege (zentral und dezentral) zuständig?
• Werden Datenschutzfolgeabschätzungen für risikobehaftete Systemeinführungen durchgeführt?
• Sind die Mitarbeiter ausreichend geschult?
• Funktioniert der bestehende Prozess bei Datenschutzvorfällen?
• Überprüfung Datentransfers: Qualifizierung als Auftragsverarbeitung oder Gemeinsame Verantwortlichkeit? Auswirkung EuGH-Urteil „Schrems II“?
• Gibt es einen „Change“ Prozess (werden die bestehenden Vorgaben also bei internen Änderungen entsprechend angepasst)?
• Werden Kurz-Audits zur Überprüfung der Compliance durchgeführt (siehe hierzu unsere Übersicht zu DSGVO-Audits)?
• …