Aktuelles, Experten - geschrieben von dp am Donnerstag, Oktober 1, 2020 20:34 - noch keine Kommentare
35,3 Millionen Euro Bußgeld: Datenschutzverstöße im H&M-Servicecenter
H&M mit Sitz in Hamburg betreibt Servicecenter in Nürnberg
[datensicherheit.de, 01.10.2020] Im Fall der Überwachung von mehreren hundert Mitarbeitern des H&M-Servicecenters in Nürnberg durch die Center-Leitung hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) nach eigenen Angaben einen Bußgeldbescheid in Höhe von 35.258.707,95 Euro gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG erlassen. Diese Gesellschaft mit Sitz in Hamburg betreibt demnach ein Servicecenter in Nürnberg.
Seit 2014 umfangreichen Erfassungen privater Lebensumstände von H&M-Beschäftigten
Mindestens seit dem Jahr 2014 sei es bei einem Teil der Beschäftigten zu umfangreichen Erfassungen privater Lebensumstände gekommen. Entsprechende Notizen seien auf einem Netzlaufwerk dauerhaft gespeichert worden. „Nach Urlaubs- und Krankheitsabwesenheiten – auch kurzer Art – führten die vorgesetzten Team-Leader einen sogenannten Welcome Back Talk durch. Nach diesen Gesprächen wurden in etlichen Fällen nicht nur konkrete Urlaubserlebnisse der Beschäftigten festgehalten, sondern auch Krankheitssymptome und Diagnosen.“
Zusätzlich hätten sich einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden angeeignet, das von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen gereicht habe. Diese Erkenntnisse seien teilweise aufgezeichnet und, digital gespeichert worden und seien mitunter für bis zu 50 weitere Führungskräfte im ganzen Haus lesbar gewesen.
H&M-Datenerhebung bekannt geworden durch Konfigurationsfehler im Oktober 2019
Diese Aufzeichnungen seien bisweilen mit einem hohen Detailgrad vorgenommen und im zeitlichen Verlauf fortgeschriebenworden. Die so erhobenen Daten seien neben einer akribischen Auswertung der individuellen Arbeitsleistung u.a. genutzt worden, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten.
„Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte zu einem besonders intensiven Eingriff in die Rechte der Betroffenen.“ Bekannt geworden sei die Datenerhebung dadurch, dass die Notizen infolge eines Konfigurationsfehlers im Oktober 2019 für einige Stunden unternehmensweit zugreifbar gewesen seien.
H&M hat Datensatz von rund 60 Gigabyte zur Auswertung vorgelegt
Nachdem der HmbBfDI durch Presseberichte informiert worden sei, habe er zunächst angeordnet, den Inhalt des Netzlaufwerks vollständig „einzufrieren“ und dann die Herausgabe verlangt. Das Unternehmen sei dem nachgekommen und habe einen Datensatz von rund 60 Gigabyte zur Auswertung vorgelegt.
Vernehmungen zahlreicher Zeugen habe nach Analyse der Daten die dokumentierten Praktiken bestätigt. Die Aufdeckung der erheblichen Verstöße habe die Verantwortlichen zur Ergreifung verschiedener Abhilfemaßnahmen veranlasst. Dem HmbBfDI sei ein umfassendes Konzept vorgelegt worden, „wie von nun an am Standort Nürnberg Datenschutz umgesetzt werden soll“.
Neu eingeführtes H&M-Datenschutzkonzept
Zur Aufarbeitung der vergangenen Geschehnisse habe sich die Unternehmensleitung nicht nur ausdrücklich bei den Betroffenen entschuldigt. Sie folge auch der Anregung, den Beschäftigten einen unbürokratischen Schadenersatz in beachtlicher Höhe auszuzahlen. Es handele sich insoweit um ein bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß.
Weitere Bausteine des neu eingeführten Datenschutzkonzepts seien unter anderem ein neu berufener Datenschutzkoordinator, monatliche Datenschutz-Statusupdates, ein verstärkt kommunizierter Whistleblower-Schutz sowie ein konsistentes Auskunfts-Konzept.
HmbBfDI: Fall schwere Missachtung des Beschäftigtendatenschutzes am H&M-Standort Nürnberg
Prof. Dr. Johannes Caspar, HmbBfDI kommentiert: „Der vorliegende Fall dokumentiert eine schwere Missachtung des Beschäftigtendatenschutzes am H&M-Standort Nürnberg. Das verhängte Bußgeld ist dementsprechend in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.“
Ausdrücklich positiv sei das Bemühen der Konzernleitung zu bewerten, die Betroffenen vor Ort zu entschädigen und das Vertrauen in das Unternehmen als Arbeitgeber wiederherzustellen. Die transparente Aufklärung seitens der Verantwortlichen und die Gewährleistung einer finanziellen Kompensation zeigten durchaus den Willen, den Betroffenen den Respekt und die Wertschätzung zukommen zu lassen, die sie als abhängig Beschäftigte in ihrem täglichen Einsatz für ihr Unternehmen verdienten.
Weitere Infromationen zum Thema:
datensicherheit.de, 16.10.2019
Datenschutzbehörden stellen neuen Bußgeldkatalog offiziell vor
Aktuelles, Experten - Sep 13, 2024 0:52 - noch keine Kommentare
eco kommentiert geplante Ausweitung der Kompetenzen für Sicherheitsbehörden
weitere Beiträge in Experten
- Lokal angepasste Warnkonzepte: Leitfaden für Praktiker der Warnung vorgestellt
- Smarte Geräte: IT-Sicherheit in Deutschland neben Benutzerfreundlichkeit entscheidendes Kaufkriterien
- Zoom: Videokonferenzdienst erhielt IT-Sicherheitskennzeichen des BSI
- 18.09.2024: Web-Seminar zu IT-Sicherheitsstrategien für cloud-basierte und hybride Geschäftsprozesse
- BfDI-Amtsantritt: Prof. Dr. Louisa Specht-Riemenschneider benennt Schwerpunkte ihres Wirkens
Aktuelles, Branche - Sep 14, 2024 0:17 - noch keine Kommentare
SANS Institute gibt eBook zur Cloud-Sicherheit heraus
weitere Beiträge in Branche
- Hacker-Gruppe Earth Preta nutzt neue Cyber-Angriffsmethoden
- Smarte Kleidung als IT-Sicherheitsrisiko: Wenn Techwear zur Hackwear wird
- NIS-2-Richtlinie: Kommunikation ist mehr als Erfüllung der Meldepflicht an Behörden
- Geplante Aufgaben in Windows: Neue Cyber-Bedrohung zielt auf deren Missbrauch
- NIS-2 wirft Schatten voraus: Stephan Heimel rät zur E-Mail-Verschlüsselung
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren