Familienstreitigkeiten und medizinische Befunde
Betroffen sind mehrere Hundert Mitarbeiter des H&M-Servicecenters in Nürnberg. Mindestens seit 2014 waren hier sogenannte „Welcome Back Talks“ an der Tagesordnung: Nach jeder noch so kurzen Abwesenheit wegen Urlaub oder Krankheit baten die Vorgesetzten zum Gespräch. Detailliert wurde dabei über Reiseeindrücke, Krankheitssymptome oder Diagnosen gesprochen. Die Erkenntnisse wurden auf einem Netzlaufwerk gespeichert, auf das teilweise bis zu 50 Führungspersonen Zugriff hatten. Auch Inhalte scheinbar privater Gespräche auf dem Flur und in der Kaffeeküche wurden in die digitalen Verzeichnisse eingetragen. Dazu werteten die Vorgesetzten akribisch die derzeitige Leistung der Angestellten aus. Das Ergebnis: umfangreiche Profile über Privat- und Arbeitsleben, die bei wichtigen Entscheidungen zum beruflichen Fortkommen berücksichtigt wurden.
Ein Bug führt zur Aufdeckung
Möglicherweise würde im Nürnberger Servicecenter bis heute so verfahren, wäre nicht im Oktober 2019 ein Konfigurationsfehler aufgetreten. Der führte dazu, dass die brisanten Daten mehrere Stunden lang im gesamten Unternehmen sichtbar waren. Empörte Mitarbeiter informierten die Presse, kurz darauf leitete der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Johannes Caspar, ein Bußgeldverfahren ein. Das Unternehmen kooperierte und stellte die entsprechenden Daten umgehend zur Verfügung: rund 60 Gigabyte. Neben der Auswertung des Materials befragte Caspars Behörde auch zahlreiche Zeugen.
Entschuldigungen und Schadensersatz
Es habe sich um einen besonders intensiven Eingriff in die Rechte der Betroffenen gehandelt, bilanziert der Hamburger Datenschutz-Beauftragte: Persönliche Details aus dem Privatleben seien kontinuierlich mit den Leistungen am Arbeitsplatz kombiniert worden. Wegen schwerer Missachtung des Beschäftigten-Datenschutzes ging der H&M Hennes & Mauritz Online Shop A.B. & Co. KG nun ein Bußgeldbescheid in Höhe von 35.258.707,95 Euro zu. Ein umfassendes Datenschutz-Konzept für den Standort Nürnberg hat das Unternehmen bereits vorgelegt.
Fazit
Ausdrücklich positiv bewertet Johannes Caspar die Bemühungen der Konzernleitung nach Bekanntwerden der Missstände. Man habe sich bei allen Betroffenen entschuldigt und wolle unbürokratisch einen Schadensersatz „in beachtlicher Höhe“ auszahlen. Ein solches Bekenntnis zur Unternehmensverantwortung nach einem Datenschutz-Verstoß sei in Deutschland bisher einmalig.
Alles, was Sie wissen müssen