Von Florian Eckl, BR
Es liest sich wie ein umfangreiches Tagebuch - detaillierte Krankheitsverläufe, Probleme mit dem Partner oder Sorgen über die Mutter im Krankenhaus. Der einzige Unterschied: Es handelt sich nicht um privat gehütete Informationen, sondern um gespeicherte Daten von Mitarbeitenden im Netzwerk von H&M; Daten über Beschäftigte im zentralen Servicecenter des Modekonzerns in Nürnberg.
Aufgeflogen war der Vorfall, weil durch einen technischen Fehler offenbar ein Großteil der Mitarbeitenden des Kundenzentrums auf den Ordner mit den sensiblen Informationen zugreifen konnte. H&M hat diese Datenschutz-Panne der zuständigen Aufsichtsbehörde gemeldet. Die "Frankfurter Allgemeine Zeitung" berichtete als erste über den Vorfall. In diesem Ordner fanden Beschäftigte dann nicht nur Arbeitsverträge oder Bewerbungen ihrer Kollegen, sondern etliche sogenannte "Gesprächsnotizen" der Teamleiter.
In vertraulichen Gesprächen ausgehorchtNach Recherchen des BR-Studios Franken und des BR-Politikmagazins Kontrovers fanden dafür schon nach kurzer Abwesenheit von Mitarbeitenden sogenannte "Welcome-Back"-Gespräche statt. Dabei fragten Teamleiter offenbar gezielt nach Privatem im Leben der Mitarbeitenden. Aber auch in Pausen seien Informationen in freundschaftlicher Atmosphäre ausgetauscht worden. Diese landeten dann jedoch in teilweise seitenlangen Dokumenten.
H&M kennt Medikamente und LiebschaftenBetroffene berichten gegenüber dem BR von detaillierten Informationen über ihr Leben, die in den Gesprächsnotizen zu finden sind. Dazu gehören verschriebene Medikamente, umfassende Krankheitsverläufe oder Beschreibungen, welcher Mitarbeitende mit welchem Partner die Nacht verbracht hat. Bei Kolleginnen seien beispielsweise auch Vermutungen über Menstruationsprobleme in den Daten zu finden.
Warum die Teamleiter diese Informationen sammelten, ist unklar. In Mitarbeiterkreisen gibt es die Vermutung, die gesammelten Informationen sollten beispielsweise bei der Entscheidung über ein weiteres Beschäftigungsverhältnis genutzt werden. Die meisten der etwa 700 Mitarbeitenden in Nürnberg besitzen nur befriste Verträge. Doch liegt das Motiv weiter im Dunkeln. H&M hat eine BR-Anfrage dazu bislang unbeantwortet gelassen.
Die Mitarbeitenden bekamen nun das Recht eingeräumt, die über sie gesammelten Daten einzusehen. Nach Recherchen des BR-Studio Franken und des BR-Politikmagazins Kontrovers scheint es dabei bisher teils zu massiven Unstimmigkeiten gekommen zu sein. Mehrere Betroffene berichten von angeblichen Fristversäumnissen. Auch sollen manche Daten nachträglich manipuliert worden sein, obwohl diese seit Bekanntwerden des Falls Unternehmensangaben zufolge nicht geändert werden dürfen. Den Vorwurf der Manipulation von Daten wies H&M auf BR-Anfrage zurück. Es könnten keine Änderungen an den Daten vorgenommen werden, erklärte die Pressestelle des Unternehmens.
Größter Datenschutz-Verstoß der vergangenen JahreSeit der Vorfall im Oktober bekannt wurde, übernahm die für H&M zuständige Datenschutzbehörde in Hamburg den Fall und veranlasste die sofortige Sicherstellung der gesammelten Daten. Die Behörde prüft den Vorfall nun intensiv - insgesamt seien 66 Gigabyte an Daten auf dem Ordner zu finden. "Qualitativ und quantitativ wäre das ein massiver Verstoß gegen die Datenschutzregeln, der die letzten Jahre sicher seines gleichen sucht", so der Hamburger Datenschutzbeauftrage Johannes Caspar gegenüber dem Bayerischen Rundfunk.
Sollte sich der Verdacht bewahrheiten, stehe laut Datenschutzgrundverordnung ein Bußgeld bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes des Unternehmens im Raum.
H&M entschuldigt sich und verspricht AufarbeitungH&M hat versprochen, den Vorfall umfassend aufzuarbeiten. Nachdem alle Betroffene ihre Daten einsehen konnten und die Prüfung der Aufsichtsbehörde beendet ist, sollen alle Daten vollständig gelöscht werden. Im Januar sollen die Führungskräfte zudem ein Datenschutztraining erhalten.