Datenleck bei H&M

Ende Oktober geriet die deutsche Tochter des schwedischen Modegiganten H&M mit einem Data Breach in die Schlagzeilen.

Im für den deutschen und österreichischen Markt zuständigen H&M-Kundendienstzentrum in Nürnberg haben Führungskräfte laut einem Bericht der F.A.Z. systematisch und über Jahre hinweg Informationen aus Mitarbeitergesprächen gesammelt. Unter anderem sollen Daten zur persönlichen Lebenssituation von Mitarbeitern, ihren Krankheitsverläufen u.ä. protokolliert worden sein. Schon diese Datensammlung an sich war mit großer Wahrscheinlichkeit rechtlich unzulässig, da die DSGVO eine ausdrückliche Einwilligung für die Erfassung so sensibler Daten nach Artikel 9 zur Voraussetzung macht. Zusätzlich landeten die Dateien dann im öffentlichen Verzeichnis eines Fileservers, der für alle Mitarbeiter in Nürnberg zugänglich war — eine geradezu klassische unzulässige Offenlegung der Daten. Das somit öffentlich gewordene Datenleck meldete H&M dann an die zuständige Datenschutzbehörde in Hamburg, die eine Untersuchung einleitete.

Die Geschichte geht aber noch weiter: Wie der Podcast Tagesticket des Bayrischen Rundfunks am 18. Dezember berichtete, wurden einzelne Elemente der Datei zwischen ihrer Entdeckung und der Übermittlung an den Datenschutzbeauftragten in Hamburg möglicherweise verändert oder ganz entfernt. Sollte sich diese Meldung bestätigen, könnte das zu erwartende Bußgeld für den Modekonzern deutlich höher ausfallen. Die DSGVO sieht einen Bußgeldrahmen von bis zu 20 Millionen Euro oder 4% des Jahresumsatzes vor; der lag in Deutschland im letzten Jahr laut Statista bei über 3 Milliarden Euro, 4% davon wären rund 120 Millionen Euro.