Was ist passiert?
In einem H&M Servicecenter in Nürnberg sollen Mitarbeiter und Mitarbeiterinnen in einem unzulässigen Ausmaß durch die Center-Leitung ausgespäht worden sein. Dieses unzulässige Vorgehen seitens der Center-Leitung fand mindestens seit dem Jahr 2014 statt. Mitarbeiter und Mitarbeiterinnen wurden nach Urlaubs- oder Krankenabwesenheit zu sogenannten „Welcome Back Talks“ gebeten. In diesen Gesprächen wurden nicht nur oberflächliche Ereignisse besprochen, sondern es wurden auch Krankheitssymptome und deren Diagnose abgefragt. Auch bei vermeintlich harmlosen Flurgesprächen wurden Informationen gesammelt. Aufgrund der gesammelten Informationen wurden sodann Profile erstellt, welche stetig erweitert wurden. In diesen Profilen wurden von eher harmlosen Details bis hin zu familiären Problemen und religiösen Bekenntnissen alles über den Mitarbeiter oder die Mitarbeiterin gespeichert. Die Profile waren für mehr als 50 Führungskräfte einsehbar und dienten als Entscheidungsgrundlage, für Entscheidungen bezüglich einzelner Arbeitsverhältnisse. Aufgrund eines Konfigurationsfehlers im Jahr 2019 waren die Profile statt nur für die mindestens 50 Führungskräfte für mehrere Stunden für alle im Unternehmen einsehbar.

Welche Folgen hat ein solcher DSGVO Verstoß?
Neben der dem verhängten Bußgeld, wurde die Aufdeckung der erheblichen Verstöße gegen die DS-GVO seitens H&M zum Anlass genommen, verschieden Abhilfemaßnahmen zu ergreifen. Für den Standort Nürnberg wurde ein umfassendes Datenschutzkonzept vorgelegt. Darüber hinaus hat sich das Unternehmen bei den Betroffenen entschuldigt und erklärte sich bereit, einen unbürokratischen Schadensersatz in beachtlicher Höhe an betroffene Mitarbeiter und Mitarbeiterinnen auszuzahlen.

Warum ist die Datenschutzaufsichtsbehörde in Hamburg tätig geworden und nicht die Datenschutzaufsichtsbehörde in Bayern?
Werden personenbezogene Daten im nichtöffentlichen Bereich verarbeitet, so z.B. bei der Verarbeitung von Daten durch ein Unternehmen, wird diese Verarbeitung durch den Datenschutzbeauftragten des Landes als Aufsichtsbehörde kontrolliert, in welchem die datenverarbeitenden Stelle ihren Sitz hat. Zwar war das Servicecenter von H&M in Nürnberg, allerdings ist der Unternehmenssitz von H&M Deutschland in Hamburg. Aus diesem Grund musste in diesem konkreten Fall, der hamburgische Datenschutzbeauftragte Prof. Dr. Caspar als Aufsichtsbehörde tätig werden.