Wir benutzen Cookies, um die Nutzerfreundlichkeit der Website zu verbessern. Durch deinen Besuch stimmst du der Datenschutzerklärung zu.
Alles klar!
BASIC thinking Logo Dark Mode BASIC thinking Logo Dark Mode
  • TECH
    • Apple
    • Android
    • ChatGPT
    • Künstliche Intelligenz
    • Meta
    • Microsoft
    • Quantencomputer
    • Smart Home
    • Software
  • GREEN
    • Elektromobilität
    • Energiewende
    • Erneuerbare Energie
    • Forschung
    • Klima
    • Solarenergie
    • Wasserstoff
    • Windkraft
  • SOCIAL
    • Facebook
    • Instagram
    • TikTok
    • WhatsApp
    • X (Twitter)
  • MONEY
    • Aktien
    • Arbeit
    • Die Höhle der Löwen
    • Finanzen
    • Start-ups
    • Unternehmen
    • Marketing
    • Verbraucherschutz
Newsletter
Font ResizerAa
BASIC thinkingBASIC thinking
Suche
  • TECH
  • GREEN
  • SOCIAL
  • MONEY
  • ENTERTAIN
  • NEWSLETTER
Folge uns:
© 2003 - 2025 BASIC thinking GmbH
H&M
MONEY

Rekordbußgeld gegen H&M: Was können Unternehmen aus diesem Fall lernen?

Carlo Piltz
Aktualisiert: 17. Februar 2025
von Carlo Piltz
H&M muss in Deutschland eine Rekordstrafe aufgrund eines Datenschutz-Verstoßes bezahlen. (Foto: Unsplash.com / Sei)
Teilen

Das schwedische Mode-Unternehmen H&M muss in Deutschland eine Rekordstrafe aufgrund der Verletzung der europäischen Datenschutz-Grundverordnung bezahlen. Was können andere Firmen aus diesem Urteil lernen, um selbst in Zukunft Strafen zu vermeiden?

Am 1. Oktober 2020 informierte die Hamburger Datenschutzbehörde, dass sie wegen der Überwachung von mehreren hundert Mitarbeitern des H&M Servicecenters in Nürnberg durch die Center-Leitung ein Bußgeld in Höhe von fast 35,3 Mio. Euro gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG erlassen hat.

Diese Meldung und die Informationen der Aufsichtsbehörde zur Begründung dieses bisherigen Rekordbußgeldes für Deutschland sollten Unternehmen zum Anlass nehmen, das eigene Datenschutz-Management von Mitarbeiterdaten zu prüfen.

BASIC thinking UPDATE

Jeden Tag bekommen 10.000+ Abonnenten die wichtigsten Tech-News direkt in die Inbox. Abonniere jetzt dein kostenloses Tech-Briefing:

Mit deiner Anmeldung bestätigst du unsere Datenschutzerklärung

  • 5 Minuten pro Tag
  • 100% kostenlos
  • Exklusive PDF-Guides

Grund des Bußgeldes gegen H&M war der Mitarbeiterdatenschutz

Die Ursache für das Bußgeld sind Verstöße gegen gesetzliche Vorgaben zum Schutz von Mitarbeiterdaten.

Dies ist bereits ein relevanter Aspekt: Viele Unternehmen – insbesondere im B2B-Bereich – sind immer noch der Ansicht, der Datenschutz sei Verbraucherrecht. Wenn sie keinen Kontakt zu Verbrauchern haben, müssen sie sich hierum also auch nicht kümmern.

Diese Auffassung ist schlicht falsch und für Unternehmen potenziell brandgefährlich. Das Bundesdatenschutzgesetz (BDSG) sieht in Paragraf 26 ausdrücklich Regelungen zum Umgang mit Mitarbeiterdaten vor.

Und auch die europäische Datenschutz-Grundverordnung (DSGVO) gilt völlig unabhängig davon, ob nun Verbraucher oder eigene Mitarbeiter betroffen sind. Die DSGVO kennt den Begriff „Verbraucher“ gar nicht.

Die Hamburger Behörde erläutert, dass es in einem Servicecenter in Nürnberg mindestens seit dem Jahr 2014 bei einem Teil der Beschäftigten zu umfangreichen Erfassungen privater Lebensumstände kam.

Notizen mit diesen Daten wurden auf einem Netzlaufwerk dauerhaft gespeichert. Es wurden etwa nicht nur konkrete Urlaubserlebnisse der Beschäftigten festgehalten, sondern auch Krankheitssymptome und Diagnosen. Die so vorgehaltenen Daten waren für bis zu 50 weitere Führungskräfte im ganzen Haus lesbar.

Die Aufzeichnungen wurden bisweilen mit einem hohen Detailgrad vorgenommen und im zeitlichen Verlauf fortgeschrieben. Die so erhobenen Daten wurden unter anderem genutzt, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten.

Was können Unternehmen aus dem Fall „H&M“ lernen?

Die wichtigste Schlussfolgerung dürfte sein: Auch innerbetrieblich ist das Datenschutzrecht zu beachten.

Wenn sich Unternehmen konkret die Frage stellen, wie sie die Erstellung solcher Listen, wie sie in diesem Fall angefertigt wurden, verhindern können, dürften die Themen Sensibilisierung und Kontrolle eine wichtige Rolle spielen.

Mitarbeiter – insbesondere Führungskräfte – müssen zumindest grundsätzlich wissen, was datenschutzrechtlich erlaubt ist und wo rote Linien verlaufen. Um dies zu erreichen, bieten sich widerholende Sensibilisierungsmaßnahmen wie Schulungen oder E-Learnings an.

Diese sollten auch spezifisch auf die Tätigkeit der Empfänger, etwa von Führungskräften, zugeschnitten sein. Zudem empfehlen sich regelmäßige Rücksprachen zu offenen Fragen im Bereich Datenschutz mit einzelnen Fachbereichen.

So kann aus Sicht des Datenschutzes bereits früh gegengesteuert werden, wenn Mitarbeiter bestimmte Datenverarbeitungen planen, die rechtlich problematisch sind. Weitere Maßnahmen der Sensibilisierung kann zum Beispiel auch ein internes Datenschutz-FAQ zu häufig gestellten Fragen sein.

Ein anderer Aspekt ist sicherlich auch die interne Kontrolle, dass Datenschutz und interne Richtlinien tatsächlich umgesetzt werden. Hier sind der Datenschutzbeauftragte oder die Mitarbeiter aus dem Datenschutz gefordert.

Ganz spezifisch sieht Artikel 39 Absatz 1 lit. b) DSGVO für den Datenschutzbeauftragten vor, dass er die Einhaltung der DSGVO und nationaler Gesetze zum Datenschutz überwachen muss. Wichtig ist dabei, dass ein Datenschutzbeauftragter nur das überwachen kann, wovon er Kenntnis hat.

Entwickelt sich in einem Unternehmen ein gewisses Eigenleben hinsichtlich des Umgangs mit Mitarbeiterdaten, ist es auf entsprechende Hinweise aus dem Beschäftigtenkreis oder gut durchgeführte Kontrollen angewiesen.

Risiken für Unternehmen

Der Fall verdeutlicht auch, dass es nicht immer eine Prüfaktion durch eine Aufsichtsbehörde oder eine Beschwerde eines Betroffenen braucht, damit datenschutzwidrige Praktiken ans Licht kommen.

Im vorliegenden Fall führte ein interner technischer Fehler dazu, dass die Listen kurze Zeit für alle Mitarbeiter zugänglich waren. Dies wurde dann an die Presse weitergegeben, die darüber berichtete.

Erfährt eine Datenschutzbehörde von einem (möglichen) Datenschutzverstoß am sonntäglichen Frühstückstisch aus der Presse, ist dies per se zunächst nicht der beste Start für ein sich anschließendes Verwaltungsverfahren.

Das Bußgeldrisiko kann sich für Unternehmen also nicht nur aus externen Quellen (Wettbewerber, Betroffene, Prüfung der Behörde) ergeben, sondern auch der innerbetriebliche Datenschutz muss im Datenschutz-Management Beachtung finden.

Auch interessant:

  • DSGVO und das Home Office: Worauf Unternehmen jetzt achten müssen
  • Diese Seite zeigt dir alle offiziell verhängten DSGVO-Strafen
  • DSGVO-Entlastung für kleine Firmen: Datenschutzbeauftragter seltener benötigt
  • Das sind die 8 größten Datensünder der Welt
Kleines Kraftwerk

Anzeige

STELLENANZEIGEN
Sachbearbeiter Verwaltungsdigitalisierung (m/...
Landratsamt Schwäbisch Hall in Schwäbisch Hall
BASIC thinking Freiberuflicher Redakteur (m/w/d)
BASIC thinking GmbH in Home Office
Praktikant Social Media im Digital Marketing ...
Ferrero MSC GmbH & Co. KG in Frankfurt/M.
Mitarbeiter im Bereich Marketing, Grafik Desi...
Bäckerei und Konditorei Treiber GmbH in Steinenbronn
Head of Marketing & Digital Sales (w/m/d)...
Nordnet Pensionsförsäkring AB in Frankfurt am Main
Digital Marketing Manager (m/w/d)
Punktum Werbeagentur GmbH in Bad Vilbel

Du willst solche Themen nicht verpassen? Mit dem BASIC thinking UPDATE, deinem täglichen Tech-Briefing, starten über 10.000 Leser jeden Morgen bestens informiert in den Tag. Jetzt kostenlos anmelden:

Mit deiner Anmeldung bestätigst du unsere Datenschutzerklärung

THEMEN:DatenschutzDSGVORecht
Teile diesen Artikel
Facebook Flipboard Whatsapp Whatsapp LinkedIn Threads Bluesky Email
vonCarlo Piltz
Folgen:
>Studium der Rechtswissenschaften, Göttingen >Promotion zum Thema „Soziale Netzwerke im Internet – eine Gefahr für das Persönlichkeitsrecht?“ > Referendariat in Berlin (mit Stationen u. a. bei der Europäischen Kommission in Brüssel) > Rechtsanwalt und Salary Partner bei reuschlaw Legal Consultants, Berlin Dr. Piltz berät und begeleitet Mandanten im Rahmen der Umsetzung datenschutzrechtlicher Anforderungen und bei Projekten der Digitalisierung. Als Experte im Bereich Datenschutzrecht war er u.a. als Sachverständiger zum neuen Bundesdatenschutzgesetz sowie dem neuen Berliner Landesdatenschutzgesetz tätig. Daneben vertritt er Mandanten in verwaltungsrechtlichen Streitigkeiten und Gerichtsverfahren.
Kleines Kraftwerk

Anzeige

EMPFEHLUNG
Online-Speicher Internxt
Einmal zahlen, ein Leben lang Online-Speicher erhalten
Anzeige TECH
UPDATE – DEIN TECH-BRIEFING

Jeden Tag bekommen 10.000+ Abonnenten von uns die wichtigsten Tech-News direkt in die Inbox. Abonniere jetzt dein kostenloses Tech-Briefing:

Mit deiner Anmeldung bestätigst du unsere Datenschutzerklärung

LESEEMPFEHLUNGEN

deutsche Städte Zukunft Zukunftsatlas
MONEYTECH

Diesen deutschen Städten blüht die rosigste Zukunft

Neura Robotics
MONEYTECH

Neura Robotics, oder: Der humanoide Roboter in meinem Wohnzimmer

Intelligente Schritte im Geschäftsleben Geschäftserfolg
AnzeigeMONEY

Ist es Strategie oder Glück? Intelligente Schritte im Geschäftsleben

Sales bei Doctolib
AnzeigeMONEY

Interview: Wie Doctolib den Vertrieb im Health Tech neu denkt

beliebtesten Autos Juni 2025 Neuzulassungen meistverkauften Autos
MONEYTECH

Die beliebtesten Autos im Juni 2025 – laut Kraftfahrt-Bundesamt

Das Hauptgebäude der Humboldt-Universität zu Berlin.
MONEY

Studieren: Die besten Universitäten in Deutschland

Mehr anzeigen
Folge uns:
© 2003 - 2025 BASIC thinking GmbH
  • Über uns
  • Mediadaten
  • Impressum
  • Datenschutz
Welcome Back!

Sign in to your account

Username or Email Address
Password

Lost your password?