Patrick Upmann

AI Governance. Built it. Written it. Defending it.

Schlagwort: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit der Freien und Hansestadt Hamburg

  • Datenschutz – Warum H&M 35,3 Millionen Euro Bußgeld wegen Datenschutzverstößen in seinem Servicecenter zahlen muss

    Datenschutz – Warum H&M 35,3 Millionen Euro Bußgeld wegen Datenschutzverstößen in seinem Servicecenter zahlen muss

    Datenschutz – Überwachung von mehreren hundert Mitarbeiterinnen und Mitarbeitern des H&M Servicecenters in Nürnberg

    Datenschutz – Im Fall der Überwachung von mehreren hundert Mitarbeiterinnen und Mitarbeitern des H&M Servicecenters in Nürnberg durch die Center-Leitung hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) einen Bußgeldbescheid in Höhe von 35.258.707,95 Euro gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG erlassen.

    Die Gesellschaft mit Sitz in Hamburg betreibt ein Servicecenter in Nürnberg. Mindestens seit dem Jahr 2014 kam es bei einem Teil der Beschäftigten zu umfangreichen Erfassungen privater Lebensumstände. Entsprechende Notizen wurden auf einem Netzlaufwerk dauerhaft gespeichert. Nach Urlaubs- und Krankheitsabwesenheiten – auch kurzer Art – führten die vorgesetzten Teamleader einen sogenannten Welcome Back Talk durch. Nach diesen Gesprächen wurden in etlichen Fällen nicht nur konkrete Urlaubserlebnisse der Beschäftigten festgehalten, sondern auch Krankheitssymptome und Diagnosen. Zusätzlich eigneten sich einige Vorgesetzte über Einzel- und Flurgespräche ein breites Wissen über das Privatleben ihrer Mitarbeitenden an, das von eher harmlosen Details bis zu familiären Problemen sowie religiösen Bekenntnissen reichte. Die Erkenntnisse wurden teilweise aufgezeichnet, digital gespeichert und waren mitunter für bis zu 50 weitere Führungskräfte im ganzen Haus lesbar. Die Aufzeichnungen wurden bisweilen mit einem hohen Detailgrad vorgenommen und im zeitlichen Verlauf fortgeschrieben. Die so erhobenen Daten wurden neben einer akribischen Auswertung der individuellen Arbeitsleistung u.a. genutzt, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten. Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte zu einem besonders intensiven Eingriff in die Rechte der Betroffenen.

    Bekannt wurde die Datenerhebung dadurch, dass die Notizen infolge eines Konfigurationsfehlers im Oktober 2019 für einige Stunden unternehmensweit zugreifbar waren. Nachdem der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit über die Datensammlung durch Presseberichte informiert wurde, ordnete er zunächst an, den Inhalt des Netzlaufwerks vollständig „einzufrieren“ und verlangte dann die Herausgabe. Das Unternehmen kam dem nach und legte einen Datensatz von rund 60 Gigabyte zur Auswertung vor. Vernehmungen zahlreicher Zeuginnen und Zeugen bestätigten nach Analyse der Daten die dokumentierten Praktiken.

    Datenschutz – Die Aufdeckung der erheblichen Verstöße hat die Verantwortlichen zur Ergreifung verschiedener Abhilfemaßnahmen veranlasst. Dem HmbBfDI wurde ein umfassendes Konzept vorgelegt, wie von nun an am Standort Nürnberg Datenschutz umgesetzt werden soll. Zur Aufarbeitung der vergangenen Geschehnisse hat sich die Unternehmensleitung nicht nur ausdrücklich bei den Betroffenen entschuldigt. Sie folgt auch der Anregung, den Beschäftigten einen unbürokratischen Schadenersatz in beachtlicher Höhe auszuzahlen. Es handelt sich insoweit um ein bislang beispielloses Bekenntnis zur Unternehmensverantwortung nach einem Datenschutzverstoß. Weitere Bausteine des neu eingeführten Datenschutzkonzepts sind unter anderem ein neu berufener Datenschutzkoordinator, monatliche Datenschutz-Statusupdates, ein verstärkt kommunizierter Whistleblower-Schutz sowie ein konsistentes Auskunfts-Konzept.

    Hierzu Prof. Dr. Johannes Caspar, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit: „Der vorliegende Fall dokumentiert eine schwere Missachtung des Beschäftigtendatenschutzes am H&M-Standort Nürnberg. Das verhängte Bußgeld ist dementsprechend in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.

    Ausdrücklich positiv ist das Bemühen der Konzernleitung zu bewerten, die Betroffenen vor Ort zu entschädigen und das Vertrauen in das Unternehmen als Arbeitgeber wiederherzustellen. Die transparente Aufklärung seitens der Verantwortlichen und die Gewährleistung einer finanziellen Kompensation zeigen durchaus den Willen, den Betroffenen den Respekt und die Wertschätzung zukommen zu lassen, die sie als abhängig Beschäftigte in ihrem täglichen Einsatz für ihr Unternehmen verdienen.“

    Quelle: Datenschutz-Hamburg.de
    Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
    der Freien und Hansestadt Hamburg

  • Datenschutz – BGH-Entscheidung zu Facebook bestätigt Vorwurf der missbräuchlichen Ausnutzung einer marktbeherrschenden Stellung

    Datenschutz – BGH-Entscheidung zu Facebook bestätigt Vorwurf der missbräuchlichen Ausnutzung einer marktbeherrschenden Stellung

    Datenschutz – Die Entscheidung des BGH über die Zulässigkeit des Beschlusses des Bundeskartellamts stellt eine Zäsur im Umgang mit global agierenden Internetdiensten dar, die aufgrund ihrer marktbeherrschenden Stellung den Nutzerinnen und Nutzern ihre Nutzungs- und Datenschutzbestimmungen bislang diktieren können.

    Ohne eine wirksame Kontrolle über ihre Daten und vor dem Hintergrund des Lock-in-Effekts erkennt der BGH bei Facebook eine kartellrechtlich relevante Ausbeutung der Nutzerinnen und Nutzer. Der Facebook-Konzern steht damit künftig als marktbeherrschender Netzwerkbetreiber in der Pflicht, entweder den Nutzerinnen und Nutzern faire Wahlmöglichkeiten mit Blick auf die Verwendung ihrer personenbezogenen Daten einzuräumen, sodass diese über die Personalisierung ihrer Daten selbst entscheiden können oder künftig auf die Daten zu verzichten und diese auch nicht innerhalb des Facebook Konzerns auszutauschen.

    Datenschutz – Die Entscheidung des BGH stellt zwar zunächst eine Eilfallentscheidung dar. Sie führt jedoch dazu, dass der Beschluss des Bundeskartellamts, Facebook zu verbieten, die Daten ohne weitere Einwilligung der Nutzer weiterzuverarbeiten, wieder durchsetzbar ist. Insoweit ergeben sich erhebliche Auswirkungen für die Datenverarbeitungspraxis des Unternehmens in bisher nicht bekanntem Maße. Zur Umsetzung hat Facebook eine 12-monatige Frist, wobei bereits zuvor ein Umsetzungsplan vorzulegen ist. Letztlich dürften die Datenverarbeitung und der Austausch der Daten zwischen verschiedenen Diensten des Facebook-Konzerns künftig nur auf entsprechenden Einwilligungen basieren, die nicht wie bislang pauschal bei der Nutzung des Dienstes abzugeben sind, sondern separat von den Nutzern eingeholt werden müssen. Die Verweigerung der einzelnen Einwilligung darf nicht dazu führen, dass der Dienst nicht nutzbar ist. Freiwilligkeit und Informiertheit sind dabei Voraussetzung.

    Hierzu Johannes Caspar, Hamburgischer Beauftragter für Datenschutz und Informationsfreiheit: „Die Entscheidung des BGH markiert einen Wendepunkt: Der Zwang zu einer pauschalen Einwilligung, bei der Nutzer für eine Eintrittskarte an der Tür zum Facebook-Netzwerk ein Buy Out ihrer Daten zu akzeptieren hatten, muss der Vergangenheit angehören. Bislang galt: Marktmacht generiert Datenmacht, die wiederum mehr Marktmacht schafft. Die Entscheidung des BGH weist nun in eine andere Richtung. Facebook wird feststellen müssen, dass die Zeit für dieses Geschäftsmodell ausläuft. Dass dieser Ansatz von Wettbewerbshütern kommt, nicht hingegen von den zuständigen Datenschutzaufsichtsbehörden, wird an diesem Ergebnis nichts ändern. Insgesamt hat die Entscheidung den Grundsatz der Wechselbezüglichkeit zwischen Wettbewerbs- und Datenschutzrecht zum Durchbruch gebracht. Wettbewerbs- und Datenschutzbehörden haben in der Vergangenheit schon erfolgreich zusammengearbeitet. Es ist zu erwarten, dass dies künftig noch intensiviert wird.“

    Quelle: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
    der Freien und Hansestadt Hamburg

    https://now.digital/interim-manager-digitale-transformation/datenschutz-news/ds-gvo-bitkom-zieht-durchwachsene-bilanz/