H&M akzeptiert Rekordbußgeld wegen Datenschutzverstößen

Wegen Ausspähung von Mitarbeitern hatte die Hamburgische Datenschutzbehörde gegen H&M ein Bußgeld von ca. 35 Millionen EUR verhängt. Informationen aus dem Privatleben wurden erfragt, dauerhaft gespeichert und dann durch einen IT-Fehler konzernweit sichtbar. Die Sanktion ist durch Verzicht auf Widerspruch rechtskräftig. In Großbritannien kommt British Airways pandemiebedingt günstiger davon.

Dass die Datenschutzbehörden wie angekündigt ihr Vorgehen bei Verstößen gegen die DSGVO verschärfen, hat jetzt der schwedische Modekonzern Hennes & Mauritz (H & M) zu spüren bekommen. Anfang Oktober hatte die für das Unternehmen zuständige Hamburger Datenschutzbehörde ein Bußgeld in Höhe von über 35 Millionen Euro verhängt, und damit den bisherigen Rekord in Deutschland mehr als verdreifacht.

H&M betrieb gezielte Ausspähung der eigenen Mitarbeiter

Das Unternehmen war negativ aufgefallen, weil Führungskräfte im Nürnberger Call-Center des Unternehmens in großem Ausmaß Informationen aus dem Privatleben von Mitarbeitern erfragt hatten und diese Daten anschließend dauerhaft speicherten. Dabei wurde etwa in Gesprächen nach Urlauben oder krankheitsbedingten Fehlzeiten nach Einzelheiten wie genauen Diagnosen und Symptomen oder Urlaubserlebnisse gefragt, zudem wurden auch Informationen, beispielsweise zu familiären Problemen oder zur Religion, aus informellen Gesprächen gesammelt und in einer umfangreichen Datei gespeichert, wobei diese Daten anschließend zahlreichen Führungskräften frei zugänglich waren. 

Umfangreiche Profilerstellung aus abgefragten persönlichen Daten

Diese Daten wurden dann nicht nur bei der Beurteilung der individuellen Arbeitsleistung mit herangezogen, sondern auch für eine umfassende Profilerstellung genutzt. Entdeckt wurde die Datei im Umfang von rund 60 GByte schließlich nur durch einen Konfigurationsfehler auf dem Server, durch den diese Daten konzernweit für alle Nutzer sichtbar wurden.

Wie ergab sich die Höhe der Rekordstrafe?

Der Hamburger Datenschutzbeauftragte Johannes Caspar bezeichnete das Rekordbußgeld als „in der Höhe angemessen“ und hofft auch auf eine abschreckende Wirkung auf andere Unternehmen. Im Vordergrund stand die Schwere der Missachtung des Beschäftigtendatenschutzes. Auch die Folgen für die Betroffenen waren hier beachtlich.

Caspar lobte aber auch die transparente Aufklärung der Vorfälle durch die Verantwortlichen bei H&M sowie deren Bereitschaft zur Gewährung einer finanziellen Kompensation für die Betroffenen, wodurch diesen Respekt und Wertschätzung entgegengebracht werde.

Das Unternehmen hat sich zudem bei den Betroffenen entschuldigt und schließlich auch personelle Konsequenzen in der Führungsebene des Call-Centers angekündigt.

Unternehmen verzichtet auf Widerspruch

Mittlerweile hat Unternehmen auch angekündigt, auf einen Widerspruch gegen das Rekordbußgeld zu verzichten. G egenüber dem NDR sagte eine Sprecherin, dass man mit diesem Schritt die Angelegenheit beenden wolle , auch wenn man die Höhe des Bußgeldes als „nicht proportional zu dem lokalen Fall in Nürnberg“ betrachte.

British Airways kommt glimpflicher davon

Eine noch viel höhere Geldbuße als sie H&M jetzt zahlen muss, hatte der britischen Fluggesellschaft British Airways gedroht, nachdem das Unternehmen zum Ziel von Hacker-Angriffen geworden war. Aufgrund unzureichender Sicherheitsmaßnahmen, so die Einschätzung der britischen Datenschutzbehörden ICO, hatten die Angreifer potenziell Zugriff auf persönliche Daten von rund 430.000 Kunden, wobei neben Namen und Adressen vor allem auch deren Kreditkartendaten und oftmals sogar die dazugehörigen Sicherheitscodes (Card Valuation Code – CVC) sowie auch Nutzernamen und Kennwörter von Premium-Vielfliegern sowie von Mitarbeitern und Administratoren erbeutet werden konnten.

Nach Ansicht der Datenschutzbehörde hätten das Unternehmen die Schwachstellen nicht nur deutlich früher entdecken und schließen müssen, darüber hinaus wären die unrechtmäßigen Zugriffe auch schon durch übliche Schutzmaßnahmen wie Zwei-Faktor-Authentifizierung oder eine Begrenzung der Zugriffsrechte vermeidbar gewesen.

Bußgeld für Fluggesellschaft wurde wegen Pandemie-Umsatzeinbußen stark gesenkt

Die Bemessung des Bußgeldes erfolgte nach den Vorgaben der europäischen DSGVO, da zum Zeitpunkt der Hackerangriffe Großbritannien noch EU-Mitglied war. Die Datenschutzbehörde ICO setzte daher in diesem Rahmen eine Strafe von 1,5 Prozent des Umsatzes aus dem Vorjahr fest, wodurch British Airways den stolzen Betrag von umgerechnet rund 204 Millionen EUR hätte zahlen müssen. Theoretisch wäre damit sogar eine Buße von maximal 4 Prozent des Umsatzes möglich gewesen, was einer Summe von über 540 Millionen EUR entsprochen hätte.

Aufgrund der durch die Corona-Pandemie bedingten dramatischen Umsatzrückgänge in der Luftfahrtbranche und der ohnehin schon bestehenden Ausnahmesituation für die betroffenen Unternehmen reduziert die ICO die Geldbuße jetzt jedoch um rund 90 Prozent auf umgerechnet „nur“ noch 22 Millionen EUR.

Weitere News zum Thema:

Hohe DSGVO-Strafe für die AOK wegen werblicher Verwendung von Gewinnspieldaten

DSGVO-Geldbuße gegen Telecom-Tochter

Teurer Datenfriedhof - Rekordstrafe wegen Verletzung der DSGVO durch Archive

Hintergrund: DSGVO-Sanktionen

Gemäß Art. 83 Abs. 4 DSGVO sind

  • Geldbußen bis 10 Millionen Euro bzw. bis 2 % des weltweiten Jahresumsatzes,
  • in schweren Fällen bis zu 20 Millionen Euro oder bis zu 4 % des weltweiten Jahresumsatzes möglich.

Die Abschreckungswirkung dieser enorm hohen Geldbußen soll von Anfang an dazu beitragen, die DSGVO möglichst schnell und nachhaltig zur Geltung zu bringen.

Hintergrund: 5 Kriterien für die Höhe der DSGVO-Bußgelder

Die Unternehmensbußgelder werden nach dem neuen Konzept der Datenschutzbehörden anhand mehrerer Kriterien in einem fünfstufigen Prozess ermittelt:

  1. Zunächst wird das Unternehmen einer Größenklasse zugeordnet, wobei es vier verschiedene dieser Klassen (Kleinstunternehmen, kleine und mittlere Unternehmen sowie Großunternehmen) gibt.
  2. Danach wird der mittlere Jahresumsatz der jeweiligen Untergruppe der Größenklasse bestimmt.
  3. Anschließend wird ein wirtschaftlicher Grundwert ermittelt, der einer Art Tagessatz entspricht.
  4. Dieser Grundwert wird im vierten Schritt mit einem Faktor multipliziert, der die Schwere des Tatbestands wiederspiegelt. Die Faktoren reichen von 1-2 für leichte, formelle Verstöße (nach Art. 83 Abs. 4 DSGVO) bis zu 12 oder höher bei sehr schweren, materiellen Verstößen (nach Art. 83 Abs. 5, 6 DSGVO).
  5. Abschließend wird der so ermittelte Wert anhand weiterer täterbezogener oder sonst noch nicht berücksichtigter Umstände angepasst. Hiermit soll etwa verhindert werden, dass ein Unternehmen durch ein hohes Bußgeld zahlungsunfähig wird.

Weitere  Details zu den Berechnungsvorgaben finden Sie im Konzept der Datenschutzbehörden.


Schlagworte zum Thema:  Arbeitnehmer, Datenschutz-Grundverordnung