Datenskandal beim Modekonzern H&M, Mitarbeiter bespitzelt

Beim Modekonzern H&M (Hennes & Mauritz) gibt es möglicherweise einen handfesten Datenskandal. Manager haben wohl Daten über die Mitarbeiter des Konzerns gesammelt und in 'privaten Ordnern der IT' gespeichert.

Das Thema ist bei mir gestern liegen geblieben – ich hatte es Vormittags im Radio beim Sender HR1 gehört. Die FAZ berichtet hier (Paywall) exklusiv über diesen Vorfall, in dem Spitzelvorwürfe erhoben werden.

Was ist passiert?

In Nürnberg gibt es ein Kundenzentrum für Deutschland und Österreich, wo ein Teil der H&M-Belegschaft beschäftigt ist. Der F.A.Z. ging die Woche eine interne Mail zu, die auf den Sachverhalt hinweist.

• Vorgesetzte haben wohl Informationen, die sie über Mitarbeiter erhielten, in Form 'privater Notizen' in internen Ordnern im IT-System der Firma gespeichert.
• Es sollen (laut HR-Radiobericht) teilweise sehr private Informationen gewesen sein: Welche Medikamente jemand nimmt, woran er erkrankt sei, wer mit wem in Urlaub fährt etc.).
• Diese Informationen sind nicht Gegenstand dessen, was ein Arbeitgeber wissen darf und die Daten sollten nach dem HR-Bericht wohl bei privaten Gesprächen (z.B. in der Kantine oder bei Unterhaltungen) ausgehorcht worden sein.

Auf Datenschutz-Info gibt es zu den gesammelten Daten weitere Details. Nach der mir vorliegenden Darstellung wurden die Führungskräfte wohl dazu angehalten, diese Notizen aufzuzeichnen. Das Ganze wurde in Dateien in einem Ordner abgespeichert, auf den nur der Kreis der Führungskräfte Zugriff hatte. Die Beschäftigten wussten von alledem nichts – und ich denke, der Betriebsrat wohl auch nicht – also ist das ganze schon mal unzulässig.

(Quelle: Screenshot ARD-Sendung)

Wie so oft passierte das, was niemand von den Verantwortlichen auf dem Radar hatte: Der geheime Ordner wurde von Mitarbeitern gefunden. Ob jemand die Berechtigung zur Sichtbarkeit versehentlich geändert oder ein Administrator mal einen Blick in den Ordner geworfen hatte, ist mir persönlich unbekannt (der HR deutete ersteres an). Die ARD berichtet (gelöscht) in einem Videobeitrag von einem technischen Problem, auf Grund dessen die Daten öffentlich wurden (siehe obiger Screenshot mit dem Statement von H&M)). Witzig finde sich das Statement von H&M aus dem ARD-Beitrag: Die Ursache für diesen Fehler ist Gegenstand laufender Ermittlungen (erinnert mich daran, dass ich noch einen Beitrag zu einem Profilfehler bei Windows Server 2016 verhackstücken muss, der genau so etwas verursachen könnte – obwohl hier wohl eher unzutreffend). Jedenfalls wurde 'der Fund' den einigen hundert Angestellten des Kundenzentrums Nürnberg Mitte Oktober 2019 bekannt. 

Das H&M-Management reagiert, Kacke am Dampfen

Das H&M-Management reagierte umgehend mit einer Entschuldigung an die Belegschaft, so Datenschutz-Info und gab folgende Stellungnahme ab.

„Die Gesprächsnotizen können in Einzelfällen aber auch sensible Arten personenbezogener Daten enthalten, zum Beispiel Informationen zum Gesundheitszustand oder zu persönlichen Umständen, die eine Schichtanpassung notwendig gemacht haben."

Aber wie bei der Büchse der Pandora ist der Sachverhalt jetzt ans Licht der Öffentlichkeit geraten – und das ist auch gut so. Denn nach meiner ersten Einschätzung ist die Sammlung dieser Daten alleine aus arbeitsrechtlicher Betrachtungsweise schlicht illegal und seit Jahren gerichtlich untersagt.

Es ist unbekannt, wie lange diese Praxis schon gelebt wird. Aber seit Mai 2018 gilt die EU-Datenschutzgrundverordnung (DSGVO). Diese schreibt vor, dass Betroffene informiert werden und zustimmen müssen, wenn persönliche Daten gesammelt werden. Die Verantwortlichen müssen intern auch dokumentieren, welche Daten auf welcher Rechtsgrundlage erhoben und gespeichert werden. Ich kann mir nicht vorstellen, dass diese Privat-Dossiers des Führungskreises mit einer DSGVO-Rechtsgrundlage erfasst und abgedeckt sind. Da dürfte jetzt noch die zuständige Datenschutzaufsicht aktiv werden. Laut Datenschutz-Info sind die Hamburger Datenschutzaufsichtsbehörde und der für Nürnberg zuständige Datenschutzbeauftragte über den Vorfall informiert. Dass die Gewerkschaft Verdi (mit Recht) auf der Palme ist, versteht sich wohl selbstredend.