Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat in einer Pressemitteilung vom 01.10.2020 bekanntgegeben, dass seit (mindestens) 2014 private Lebensumstände der Beschäftigten des Service Centers von H&M umfangreich erfasst und auf einem Laufwerk dauerhaft gespeichert wurden. Neben der Auswertung von Arbeitsleistungen umfassten diese Daten auch Urlaubs- und Krankheitsabwesenheiten inklusive Krankheitssymptomen und Diagnosen. Darüber hinaus wurden auch Informationen über das Privatleben der Mitarbeiter (wie bspw. familiäre Probleme und religiöse Bekenntnisse) erfasst, die das Unternehmen durch Zufall erlangt hat. Ziel war es ein Profil über den Arbeitnehmer zu erstellen. Zugriff auf diese Daten hatten ca. 50 Führungskräfte des Unternehmens.
Aufgeflogen war das Vergehen im Oktober 2019 durch einen Konfigurationsfehler in den Zugriffsberechtigungen, so dass diese Informationen im gesamten Unternehmen für mehrere Stunden sichtbar waren. Der HmbBfDI sah im Verhalten von H&M einen Verstoß gegen Art. 6 Abs. 1 DSGVO und verlangte darauf zunächst die Herausgabe des Netzlaufwerks, welches einen Datensatz von rund 60 Gigabyte enthielt. Zudem wurden zahlreiche Zeugen vernommen, die die dokumentierten Praktiken des Unternehmens bestätigten.
Die Höhe des Bußgeldes belief sich auf 35.258.708 Euro.
H&M hat keinen Widerspruch gegen den Bußgeldbescheid erhoben und somit wäre das Bußgeld mit Ablauf des Widerspruchsfrist rechtskräftig. Jedoch hat H&M eine Anfechtungsklage beim VG Hamburg eingereicht. Das Gericht beschloss aber, dass es sachlich nicht zuständig ist und hat die Klage an das LG Hamburg verwiesen.
[Quellen: HmbBfDI | Pressemitteilung von H&M | EDPB ]
