H&M: Hohes Bußgeld (25 Millionen) vom Hamburgischen Beauftragten für Datenschutz

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat gegen die H&M Hennes & Mauritz Online Shop A. B. & Co. KG ein Bußgeld in Höhe von über 35 Millionen € verhängt.
Die Gesellschaft hatte seit 2014 Akten mit umfassenden Informationen von Beschäftigten angelegt, die auch die privaten Lebensumstände umfassten. Die Vorgesetzten eigneten sich hierbei ein umfangreiches Wissen auch über die Privatumstände der Mitarbeiter an. Aus den erhobenen Daten wurden weiterhin Mitarbeiter-Profile (bspw. eine Sammlung von Vorlieben, Interessen, Krankenständen etc.) gebildet.

Die Praxis, die H&M an den Tag legte, ist auf mehreren Ebenen problematisch: Zum einen ist ein Profiling oder ein mögliches Profiling von Mitarbeitern (wenn überhaupt!) nur unter strengen Maßgaben möglich. Daher sollte jede Nutzung eines Tools, in dem Mitarbeiter-Daten verarbeitet werden und durch das ein Profilingmöglich ist, genau durch den Datenschutzbauftragten geprüft werden. Hier ist meist auch eine Datenschutzfolgenabschätzung (DSFA) gem. Art. 35 DSGVO notwendig. Die Dokumentation, Maßnahmen und die DSFA sind mit den betroffenen Fachabteilungen und dem Datenschutzbeauftragten (ggf. auch mit der Behörde) abzustimmen.

Die Datenschutzbehörde in Hamburg hat klar gemacht, dass eine Überwachung und ein wie auch immer geartetes “Ausspionieren” von Mitarbeitern hart geahndet wird. Dies ist aus Sicht des Mitarbeiterdatenschutzes absolut zu begrüßen.

Weitere Informationen