Erneut hat eine deutsche Datenschutzbehörde ein sattes Bußgeld verhängt. Der Modekonzern H&M soll eine Buße in Höhe von 35 Mio. Euro zahlen. Anders als bei Fällen mit ähnlich hohen Bußgeldern geht es in diesem Fall jedoch nicht um Kundendaten. Stattdessen hat das Unternehmen beim Umgang mit Mitarbeiterdaten gegen die DSGVO verstoßen.
Arbeitgeber sammelte Informationen über das Privatleben seiner Mitarbeiter
In Nürnberg beschäftigt das Modeunternehmen einige hundert Mitarbeiter. Manager haben an diesem Standort Daten von Mitarbeitern erfasst und gespeichert. Es handelt sich um Informationen, die Einblicke in das Privatleben der Beschäftigten geben. Gesammelt wurden die Daten vorrangig bei Befragungen nach der Rückkehr aus Abwesenheit. Es wurden aber auch Mitarbeiter zu ihren Kollegen befragt.
Dieser Praxis ging das Unternehmen bereits seit 2014 nach. Die gesammelten Daten wurden genutzt, um Profile der Mitarbeiter zu erstellen. Die Betroffen wussten hiervon allerdings nicht. Das Vorgehen wurde erst durch einen Fehler in der IT bekannt, er machte die Daten für alle Mitarbeiter einsehbar.
Was sind die Konsequenzen?
Der Vorfall mag sich zwar in Nürnberg ereignet haben, doch aufgrund der Unternehmensstruktur wurde die Hamburger Aufsichtsbehörde aktiv. Sie ging der Sache nach und konnte eine Datenbank mit der beeindruckenden Größe von 60 Gigabyte sichern. Dem Unternehmen wurde untersagt, diese Daten weiterhin zu nutzen. Gleichzeitig hat die Behörde die Daten ausgewertet, um die Geschehnisse nachvollziehen zu können.
Die Datenschützer machten den Fall öffentlich und verwiesen auf das Bußgeld wegen Datenschutzverstoß in Höhe von 35 Mio. Euro. Das Unternehmen gab an, mit der Behörde eng zu kooperieren und dass es den Mitarbeitern eine Entschädigungszahlung in Höhe von je 2.500 Euro leistet. Dies sind Maßnahmen, mit denen das Unternehmen offensichtlich versucht, das Ausmaß der Konsequenzen zu mildern.
Dass trotzdem ein so hohes Bußgeld verhängt wurde, ist auf mehrere Faktoren zurückzuführen. Ein Grund ist vor allem die Zusammenführung von Daten, um Profile zu erstellen. Außerdem dauerte die Praxis gute fünf Jahre und damit sehr lange an.
Datenschutz ganzheitlich betrachten
Häufig richten Unternehmen beim Datenschutz ihren Fokus vorrangig auf Kundendaten und die Website. Solch ein Fokus ist wichtig, jedoch sollte das Thema stets ganzheitlich betrachtet werden.
Höchste Sicherheit verspricht ein fundiertes Datenschutzkonzept in Verbindung mit regelmäßigen Audits, um ein hohes Datenschutzniveau zu erreichen und aufrechtzuerhalten. Für weitere Informationen stehen wir Ihnen gerne zur Verfügung, nutzen Sie unsere kostenlose Erstberatung.