Schlagwort: H&M
8. Oktober 2020
Der Hamburger Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. Johannes Caspar verhängte ein Bußgeld i.H.v. 35,3 Millionen Euro gegen die Modekette H&M. Das bisher höchste verhängte Bußgeld nach Inkrafttreten der DSGVO wurde verhängte, weil H&M umfangreiches Mitarbeiter-Tracking betrieben hatte.
Mindestens seit dem Jahr 2014 wurden im Servicecenter in Nürnberg umfangreiche Angaben über private Lebensumstände eines Teils der Beschäftigten erfasst und entsprechende Notizen auf einem Netzwerklaufwerk dauerhaft gespeichert. Vorgesetzte führten mit Beschäftigen, die wegen eines Urlaubs oder einer Krankheit auch kurzzeitig abwesend waren, “Welcome Back Talks” durch. Dabei wurden etwa konkrete Urlaubserlebnisse und sogar Krankheitssymptome und Diagnosen abgefragt und gespeichert. Zudem sollen sich Vorgesetzte ein breites Wissen über das Privatleben ihrer Angestellten angeeignet haben, etwa über familiäre Probleme oder religiöse Ansichten. Die gespeicherten Angaben waren für bis zu 50 Führungskräfte des Unternehmens einsehbar. Mit den teilweise akribischen Angaben wurden Profile der Beschäftigten erstellt und zur Analyse der individuellen Arbeitsleistung genutzt.
Die umfassende Speicherung ist aufgeflogen, als im Oktober 2019 aufgrund eines Konfigurationsfehlers die Datenbank für einige Stunden unternehmensweit offen einsehbar war. Auf Verlangen des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit legte H&M einen Datensatz von rund 60 Gigabyte vor.
H&M hat sich einsichtig gezeigt, indem ein Konzept mit verschiedenen Abhilfemaßnahmen vorgelegt wurde und den betroffenen Beschäftigten neben einer Entschuldigung ein Schadensersatz in beachtlicher Höhe versprochen wurde. Nach Aussage von Professor Caspar handele es sich um “ein bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß.” Diese wurde bei der Bemessung der Bußgeldhöhe beachtet.
Ein solches Rekordbußgeld lässt sich durch die Ausarbeitung eines umfassenden Datenschutzkonzepts vermeiden. Wichtig sind insbesondere fachgerechte Schulungen aller Mitarbeiter in Datenschutz- und Compliance-Fragen und die Implementierung eines Datenschutz-Management-Systems. Unstrukturierte Datenerfassungen bergen ein immenses Risiko. Neben der Datenerfassung muss auch die Datennutzung rechtlich einwandfrei gehandhabt werden. Hier hilft besonders die Ausarbeitung eines Berechtigungskonzepts, in dem beschrieben wird, welche Zugriffsregeln für einzelne Mitarbeiter oder Mitarbeitergruppen auf die Daten eines Unternehmens gelten.
Das Unternehmen kündigte an, den Beschluss sorgfältig zu prüfen. Bislang ist nicht davon auszugehen, dass H&M dagegen vorgehen wird. Anders handhabt dies 1&1, das ein Bußgeld in Höhe von rund 10 Millionen Euro zahlen sollte. Hier beginnt der Prozess am Donnerstag, den 08.10.2020, vor dem Landgericht Bonn. Für H&M hätte es noch deutlich teurer werden können. Denn die DSGVO sieht für solche Verstöße einen Bußgeldrahmen von bis zu 4% des weltweiten Jahresumsatzes oder bis zu 20 Millionen Euro vor, je nachdem welcher Betrag höher ist.
22. September 2020
Der Big Brother Award, ein Datenschutz-Negativpreis, ging dieses Jahr unter anderem an Tesla und das Land Brandenburg. Der Award wird seit dem Jahr 2000 vom Datenschutzverein “Digitalcourage” und anderen Bürgerrechtsorganisationen verliehen. “Ausgezeichnet” werden Behörden oder Unternehmen, die gegen einschlägige Datenschutzbestimmungen verstoßen oder Personen überwachen und analysieren.
Brandenburg erhielt in der Kategorie “Behörden und Verwaltung” den Award wegen der dauerhaften Speicherung von Autokennzeichen. Auf Brandenburgs Autobahnen findet eine automatische Kennzeichenerfassung statt. Entgegen des Brandenburgischen Polizeigesetzes findet diese Erfassung ohne konkreten Anlass statt. Die erhobenen Daten werden im Computersystem für die automatische Kennzeichenerfassung (“KESY”) gespeichert. Die Behörden des Landes speichern in über 40 Millionen Datensätzen dauerhaft Informationen zu Fahrzeugen. Zugriff auf diese gespeicherten Daten hat wohl eine unüberschaubare Anzahl von Behördenmitarbeitern. Kritisiert wurde dieses Vorgehen bereits 2015 von der damals zuständigen Landesdatenschutzbeauftragten Barbara Hartge.
Die Auszeichnung an Tesla erging in der Kategorie “Mobilität” . In den Fahrzeugen werden systematisch die Innenräume und die Umgebung im Umkreis bis zu 250 Meter durch Außenkameras der Fahrzeuge aufgezeichnet, sowie Navigationsdaten erhoben. Zwar ist es dem Fahrer grundsätzlich möglich, diese Aufzeichnungsfunktion teilweise zu deaktivieren, welche personenbezogenen Daten gespeichert und auf Teslas US-Server übertragen werden, kann allerdings nicht kontrolliert werden. Nach Angaben von Tesla werden die erhobenen personenbezogenen Daten sowohl zur Verbesserung der autonomen Fahrsysteme als auch zu Marketingzwecken verwendet.
In der Kategorie “Arbeitswelt” erhielt H&M eine Auszeichnung. Beanstandet wurde, dass im H&M Kundencenter in Nürnberg jahrelang Beschäftigtendaten rechtswidrig verarbeitet wurden. So gab es einen für Führungskräfte und Teamleiter zugänglichen Computer-Ordner, in dem detailliert persönliche Informationen über die Mitarbeiter gespeichert wurden. Erhoben wurden beispielweise Informationen zu Beziehungen der Beschäftigten untereinander oder zu bevorstehenden Scheidungen. Ebenso wurden Angaben zu familiären Todes- oder Streitfällen festgehalten. Auch Krankheitsdaten von Mitarbeitern, die teilweise durch Teamleiter in Privatgesprächen erhoben wurden, wurden hier gespeichert.
Weiterhin wurden die Firma BrainCo und der Leibniz-Wissenschaftscampus Tübingen in der Kategorie “Bildung” ausgezeichnet. Sie entwickelten EEG-Stirnbänder, die über Gehirnstrommessung angeblich die Konzentration von Schülerinnen und Schülern messen können. Dabei wird der Konzentrationsgrad mittels LED auf dem Stirnband angezeigt und per Funk an die jeweilige Lehrkraft übertragen. Diese Technik wird wohl bereits vereinzelt in amerikanischen oder chinesischen Klassenzimmern eingesetzt. Der Leibniz-Wissenschaftscampus Tübingen kombinierte die EEG-Stirnbänder mit dem sogenannten Eyetracking. Hierdurch kann beispielsweise festgestellt werden, was ein Schüler gelesen hat und was nicht.
27. Januar 2020
Der Modehändler H&M steht wegen massiven Datenschutzverstößen in der Kritik. Die FAZ berichtete am Samstag, dass H&M im großen Stil private Daten seiner Mitarbeiter gesammelt und gespeichert hat. Die FAZ zitiert den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit mit den Worten, dass die Daten “detaillierte und systematische Aufzeichnungen von Vorgesetzten über ihre Arbeitnehmerinnen und Arbeitnehmer” enthalten. Dabei geht es auch um Krankheiten und Familienstreitigkeiten.
Die Datenschutzbehörde in Hamburg (dort hat die Deutschlandzentrale von H&M ihren Sitz) ein Bußgeldverfahren eingeleitet, so die FAZ, nachdem sich der Verdacht der Spionage erhärtete. Der Datenschutzbeauftragte Johannes Caspar teilte mit, dass “das qualitative und quantitative Ausmaß der für die gesamte Leitungsebene des Unternehmens zugänglichen Mitarbeiterdaten eine umfassende Ausforschung der Mitarbeiterinnen und Mitarbeiter zeigt, die in den letzten Jahren ohne vergleichbares Beispiel ist”.
Der Umfang der Datenspeicherung war zufällig aufgeflogen, als Mitarbeiter des Kundencenters beim Durchstöbern interner Dateien im IT-System auf offen zugängliche Ordner mit brisantem Material stießen.
H&M äußerte sich zum Vorfall und teilte mit, dass der Vorfall ernst genommen werde und er aufrichtig bedauert wird. Der Vorfall befände sich in juristischer Prüfung.
Was für ein Bußgeld die Hamburger Datenschützer ins Auge fassen, bleibt abzuwarten.
