35 Mio. € Bußgeld gegen Modehaus in Deutschland verhängt

Das Servicecenter eines Modehauses in Nürnberg spähte seit 2014 private Daten von mehreren hundert Mitarbeitern im großen Stil aus - und erhielt vom Hamburger Datenschutzbeauftragten Johannes Caspar nach Auswertung von 60 GB Datenvolumen nun die entsprechende Quittung: Einen Bußgeldbescheid i.H.v. 35.258.707,95 € aufgrund von schwerer Missachtung des Beschäftigtendatenschutzes.

Um Mitarbeiterprofile zu erstellen, die sich auf den weiteren Karriereverlauf der Beschäftigten innerhalb des Konzerns auswirkten, wurden in sog. „Welcome-Back-Talks“ nach Urlaubs- und Krankheitsrückkehr Urlaubserlebnisse, Krankheitssymptome und Diagnosen der Beschäftigten erhoben und gespeichert. Weiterhin wurden familiäre Probleme und religiöse Bekenntnisse dokumentiert.

Der Modekonzern erklärte sich bereit umfassend an der Aufklärung der vorgenommenen Verstöße mitzuwirken und sicherte den betroffenen Mitarbeitern eine entsprechende finanzielle Kompensation zu. Der Konzern entschuldigte sich bei den Beschäftigten und erklärte, die Praktiken im Servicecenter Nürnberg seien nicht mit den Richtlinien des Konzerns vereinbar.

Entsprechend habe es einen Wechsel in der Führungsebene am Standort Nürnberg sowie datenschutzrechtliche Schulungen für die Führungskräfte gegeben. Auch ein neu berufener Datenschutzkoordinator, monatliche Datenschutzstatus-Updates und ein Whistleblower-Schutz wurden integriert.

Die Höhe des verhängten Bußgeldes ist seit Inkrafttreten der DSGVO einmalig in Deutschland. Sie soll weitere Unternehmen abschrecken die Privatsphäre der Beschäftigten zu verletzen. Auch europaweit wurde bisher nur einmalig ein höheres Bußgeld - 50 Mio. € gegen Google in Frankreich - verhängt.

Das Modehaus hat zwei Wochen Zeit Einspruch gegen das verhängte Bußgeld einzulegen. Die Konzernzentrale prüft entsprechende juristische Schritte.