Beim Geld hört die Freundschaft auf. Der Modekonzern Hennes & Mauritz (H&M) hat von Hamburgs Datenschutzbeauftragten einen Bußgeldbescheid über 35 Millionen Euro erhalten. Grund war eine im Februar 2020 bekannt gewordene Bespitzelungsaktion der Mitarbeiter durch die H&M Führungskräfte.
Anzeige
Die H&M-Datenaffäre um Mitarbeiterbespitzelung
Im Dezember 2019 hatte ich im Blog-Beitrag Datenskandal beim Modekonzern H&M, Mitarbeiter bespitzelt von einem Datenskandal beim Modekonzern H&M (Hennes & Mauritz) berichtet. In Nürnberg gibt es ein Kundenzentrum für Deutschland und Österreich, wo ein Teil der H&M-Belegschaft beschäftigt ist. Manager haben wohl Daten über die Mitarbeiter des Konzerns gesammelt und in 'privaten Ordnern der IT' gespeichert. Darunter sollen (laut HR-Radiobericht) teilweise sehr private Informationen gewesen sein: Welche Medikamente jemand nimmt, woran er erkrankt sei, wer mit wem in Urlaub fährt etc. Die Daten sollten nach dem HR-Bericht wohl bei privaten Gesprächen (z.B. in der Kantine oder bei Unterhaltungen) ausgehorcht worden sein.
Bußgeldbescheid über 35 Millionen Euro
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI), Johannes Caspar, teilte zum 1. 10. 2020 mit, dass er im Fall der Überwachung von mehreren hundert Mitarbeiterinnen und Mitarbeitern des H&M Servicecenters in Nürnberg durch die Center-Leitung einen Bußgeldbescheid in Höhe von 35.258.707,95 Euro gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG erlassen hat. Hamburg ist zuständig, weil H&M seinen Sitz in dieser Stadt hat, auch wenn die Firma ein Servicecenter in Nürnberg betreibt. Der Modekonzern hat jetzt 2 Wochen Zeit, gegen diesen Bescheid Widerspruch einzulegen.
(Quelle: Pexels Lizenz)
Bespitzelung seit 2014
Mindestens seit dem Jahr 2014 kam es, laut Caspar, bei einem Teil der Beschäftigten zu umfangreichen Erfassungen privater Lebensumstände. Entsprechende Notizen wurden auf einem Netzlaufwerk dauerhaft gespeichert. Nach Urlaubs- und Krankheitsabwesenheiten – auch kurzer Art – führten die vorgesetzten Teamleader einen sogenannten Welcome Back Talk durch. Nach diesen Gesprächen wurden in etlichen Fällen nicht nur konkrete Urlaubserlebnisse der Beschäftigten festgehalten, sondern auch Krankheitssymptome und Diagnosen.
Zusätzlich eigneten sich einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden an, das von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen reichte. Die Erkenntnisse wurden teilweise aufgezeichnet, digital gespeichert und waren mitunter für bis zu 50 weitere Führungskräfte im ganzen Haus lesbar. Die Aufzeichnungen wurden bisweilen mit einem hohen Detailgrad vorgenommen und im zeitlichen Verlauf fortgeschrieben.
Die so erhobenen Daten wurden neben einer akribischen Auswertung der individuellen Arbeitsleistung u.a. genutzt, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten. Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte zu einem besonders intensiven Eingriff in die Rechte der Betroffenen.
Konfigurationsfehler lässt Bespitzelung auffliegen
Anzeige
Bekannt wurde die Datenerhebung dadurch, dass die Notizen infolge eines Konfigurationsfehlers im Oktober 2019 für einige Stunden unternehmensweit zugreifbar waren. Nachdem der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit über die Datensammlung durch Presseberichte informiert wurde, ordnete er zunächst an, den Inhalt des Netzlaufwerks vollständig „einzufrieren" und verlangte dann die Herausgabe.
Das Unternehmen kam dem nach und legte einen Datensatz von rund 60 Gigabyte zur Auswertung vor. Vernehmungen zahlreicher Zeuginnen und Zeugen bestätigten nach Analyse der Daten die dokumentierten Praktiken.
Erheblichen Verstöße festgestellt
Die Aufdeckung der erheblichen Verstöße hat die Verantwortlichen zur Ergreifung verschiedener Abhilfemaßnahmen veranlasst. Dem HmbBfDI wurde ein umfassendes Konzept vorgelegt, wie von nun an am Standort Nürnberg Datenschutz umgesetzt werden soll. Zur Aufarbeitung der vergangenen Geschehnisse hat sich die Unternehmensleitung nicht nur ausdrücklich bei den Betroffenen entschuldigt. Sie folgt auch der Anregung, den Beschäftigten einen unbürokratischen Schadenersatz in beachtlicher Höhe auszuzahlen.
Es handelt sich insoweit um ein bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß. Weitere Bausteine des neu eingeführten Datenschutzkonzepts sind unter anderem ein neu berufener Datenschutzkoordinator, monatliche Datenschutz-Statusupdates, ein verstärkt kommunizierter Whistleblower-Schutz sowie ein konsistentes Auskunfts-Konzept.
Hierzu Prof. Dr. Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Der vorliegende Fall dokumentiert eine schwere Missachtung des Beschäftigtendatenschutzes am H&M-Standort Nürnberg. Das verhängte Bußgeld ist dementsprechend in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.
Ausdrücklich positiv ist das Bemühen der Konzernleitung zu bewerten, die Betroffenen vor Ort zu entschädigen und das Vertrauen in das Unternehmen als Arbeitgeber wiederherzustellen. Die transparente Aufklärung seitens der Verantwortlichen und die Gewährleistung einer finanziellen Kompensation zeigen durchaus den Willen, den Betroffenen den Respekt und die Wertschätzung zukommen zu lassen, die sie als abhängig Beschäftigte in ihrem täglichen Einsatz für ihr Unternehmen verdienen."
Ähnliche Artikel:
Datenskandal beim Modekonzern H&M, Mitarbeiter bespitzelt
Nachtrag: Die H&M-Datenaffäre um Mitarbeiterbespitzelung
2015
Na, sprechen wir noch mal darüber, wenn die Strafe auch tatsächlich gezahlt worden ist und nicht im folgenden Fiskaljahr auf dubiose Art und Weise wieder rückerstattet wird.
Bislang hat man sich mit den Strafen durch die DSGVO nämlich meines Wissens nach nicht sonderlich mit Ruhm bekleckert. Viel blah-blah und trara, aber rumgekommen ist nichts dabei. Immer mehr Unternehmen setzen sogar wieder auf den früheren Status während des BDSG, weil sie eben wissen: Nur heisse Luft, es folgt nichts. Und wenn was folgt, wird auf die Tränendrüse gedrückt und angemerkt, daß man ja ein "Arbeitgeber" sei… *zwinker*
H&M dürfte die Strafe auch nicht sonderlich weh tun: Sie beschäftigen überwiegend Leiharbeiter als Picker und verkaufen den selben Schmuh, wie auch Kik – nur zu bedeutend höheren Preisen. Also am notwendigen Kapital sollte es eigentlich nicht scheitern.
… trauriger ist, daß es auch bei vielen Discountern so gehandhabt wird, wenn man dort arbeitet. Damals flog LIDL* auf (Videoüberwachung der Mitarbeiter, Beauftragung von Privatdetektiven, ausschnüffeln des Privatlebens), es folgte… ein Witz (trotz BDSG und Arbeitnehmerschutzgesetzen). Bei Penny wird es – so teilte man mir mit – auch so gehandhabt… nebst vieler unbezahlter Überstunden (Früher kommen, später gehen – jeweils nicht bezahlt) wird zunehmend gerne die Privatsphäre durchleuchtet.
Zu tun gäbe es reichlich… Gesetze gibt es auch… muß man sie eben nur mal durchboxen.
* https://www.sueddeutsche.de/wirtschaft/lidl-muss-zahlen-millionen-strafe-fuer-die-schnueffler-1.709085
Dem Kommentar stimme ich ganz zu.
Nebenbei ein kleiner Hinweis zur Schreibweise vom Wort Schmu damit sich`s nicht so weiter verbreitet.
https://www.duden.de/rechtschreibung/Schmu
Danke für den Hinweis! Irgendwie denke ich beim Begriff Schmu (welchen ich nur selten verwende) immer an den Schuh. Aber man lernt gerne hinzu. :)
>> trauriger ist, dass es auch bei vielen Discountern so gehandhabt wird, wenn man dort arbeitet. <<
Es wird überall mehr oder minder ausgeprägt ähnlich gehandhabt. Im Büro werden z.B. jeder Tastenschlag und jede Mausbewegung registriert. Ist eigentlich schon fast gang und gebe.
Wenn 3 Min. keine Eingabe passiert ist, geht die Pausenzeit los.
Habe ich in einer Firma live selbst erlebt. Ich stand an der Stechuhr und habe mich gewundert, dass ich so viele Minusstunden hatte.
Hätte ich Mal lieber nicht das Protokoll mir ausgedruckt und durchgelesen.
Nach der Aktion habe ich dankend mich verabschiedet.
Wer seine Mitarbeiter so dreist überwachen muss und nicht die Leistung bewerten kann, soll es einfach lassen!
Ja, stimmt! Wird extrem in Callcentern so gehandhabt. Da dient der Funk-Anhänger sogar noch zur Positionsfeststellung, durch welche Türen man geht (zwecks PC). Auch schon gesehen…
… und Microsoft hat in seinen Office-Tools ja auch mächtige Überwachungswerkzeuge verbaut.
Mea Culpa, ich war zu sehr auf den Einzelhandel fixiert. :)
PS: Von einem Bekannten weiß ich, daß er sogar im Handwerksbetrieb regelrecht "verwanzt und verfolgt" wird. Minutengenaue Abrechnung…
Bin ich froh, daß ich nicht in einem solchen Betrieb arbeiten muß. Hat schon was von Stasi 2.x…
Außerdem ist so ein Bußgeld ja auch ganz praktisch. Ich bin zwar kein Steuerfachmann, vermute aber 'mal stark, daß das Bußgeld sich steuermindernd auswirkt, m.a.W.: ob man das Bußgeld oder ESt. zahlt, ist dem Konzern vermutlich völlig wurscht. Und selbst die Presseberichterstattung ist ja nicht völlig negativ: ein Teil denkt genauso wie die ›Übeltäter‹ und empfindet vielleicht sogar »klammheimliche Freude«.
Bemerkung:
Konzerne bzw. Firmen zahlen keine ESt.
Die wird den Arbeitern durch die Firma vom Lohn abgezogen und dann an`s Regime / Regierung überwiesen. Welch schöne Zusammenarbeit.
Übrigens konnte ich füher (vor über 20 Jahren) in München in die Jahres-Bilanz von Siemens Einsicht nehmen, darin wurden Minus-Steuern in größerer Summe für das Jahr angegeben!
[Sarkasmus]
Ich denke, jetzt geht "H&M" pleite!
[/Sarkasmus]
Bei 1650 Millionen Gewinn vor Steuern im Jahr 2019 "geht Fru Helmersson sicherlich die Düse"…
Wer wird die 35 Millionen Euro wirklich bezahlen? Der Konzern, die Mitarbeiter, die Lieferanten? Für den Laien hört sich die Strafe vielleicht viel an. Wenn Mitarbeiter häufig nur zu Stoßzeiten (Flexi oder KAPOVAZ-Verträge „Kapazitätsorientierte variable Arbeitszeit") zur Arbeit einberufen werden, dann entstehen enorme Personalkosteneinsparungen seitens solcher Unternehmen! Und wenn man dazu betrachtet, was eine Näherin in Indien oder Bangladesch verdient und was der Handel daran einnimmt, dann wird klar, dass 35 Millionen Euro locker verkraftbar sind.
Das eigentlich Schlimme an dem Skandal ist, dass ein Konfigurationsfehler die Sache ans Licht brachte und nicht das Rechtsempfinden! Was wäre denn geschehen, wenn das nicht der Fall gewesen wäre? Hätte die Einsicht das Treiben beendet? Die Mitarbeiterbespitzelung geht gar nicht, das hatte der damalige Lidl-Skandal gezeigt. H&M wusste also genau, dass solches Handeln Unrecht ist! Die unrechtmäßige Datensammelwut muss aber auch zum wirtschaftlichen Erfolg beigetragen haben, sonst hätte man es ja nicht so lange gemacht. H&M ist meiner Meinung nach nur die Spitze des Eisberges! Die Strafen müssten im Milliardenbereich liegen, dann würden die Unternehmen wirklich abwägen!
Man braucht sich also nicht zu wundern, warum manche Leute keine Arbeit mehr bekommen, die gesundheitliche Einschränkungen und private Probleme haben. Den betroffenen Menschen werden die wahren Gründe niemals mitgeteilt werden. Die Unternehmen werden so weitermachen wie bisher und die Konfigurationseinstellungen besser absichern.
Zitat Reiner: "…Die Strafen müssten im Milliardenbereich liegen, dann würden die Unternehmen wirklich abwägen…" Zitatende
Die DSGVO sieht nun aber mal als Höchststrafe 4 Prozent des Jahresumsatzes vor und das wären bei "H&M" nun mal nur rund 1 Milliarde Euro!
Traurig, aber wahr.
Warum dem so ist, kannst Du dir ja mal eigene Gedanken machen…