Es liest sich wie ein umfangreiches Tagebuch – detaillierte Krankheitsverläufe, Probleme mit dem Partner oder Sorgen über die Mutter im Krankenhaus. Der einzige Unterschied: Es handelt sich nicht um privat gehütete Informationen, sondern um gespeicherte Mitarbeitenden-Daten im Netzwerk von H&M. Es sind Daten über Beschäftigte im zentralen Servicecenter des Modekonzerns in Nürnberg.
Mitarbeitende konnten sensible Daten ihrer Kollegen abrufen
Aufgeflogen war der Vorfall, weil durch einen technischen Fehler offenbar ein Großteil der Mitarbeitenden des Kundenzentrums auf den Ordner mit den sensiblen Informationen zugreifen konnte. H&M hat diese Datenschutz-Panne der zuständigen Aufsichtsbehörde gemeldet. Die Frankfurter Allgemeine Zeitung berichtete als erste über den Vorfall. In diesem Ordner fanden Beschäftigte dann nicht nur Arbeitsverträge oder Bewerbungen ihrer Kollegen, sondern etliche sogenannte "Gesprächsnotizen" der Teamleiter.
Informationen in vertraulichen Gesprächen ausgehorcht
Nach Recherchen des BR Studio Franken und des BR-Politikmagazins Kontrovers fanden dafür schon nach kurzer Abwesenheit von Mitarbeitenden sogenannte "Welcome-Back"-Gespräche statt. Dabei fragten Teamleiter offenbar gezielt nach Privatem im Leben der Mitarbeitenden. Aber auch in Pausen seien Informationen in freundschaftlicher Atmosphäre ausgetauscht worden – diese landeten dann jedoch in teilweise seitenlangen Dokumenten.
H&M kennt Medikamente und Liebschaften
Betroffene Mitarbeitende berichten gegenüber dem BR von detaillierten Informationen über ihr Leben, die in den Gesprächsnotizen zu finden sind. Dazu gehören verschriebene Medikamente, umfassende Krankheitsverläufe oder Beschreibungen, welcher Mitarbeitende mit welchem Partner die Nacht verbracht hat. Bei Kolleginnen seien beispielsweise auch Vermutungen über Menstruationsprobleme in den Daten zu finden.
Gründe bleiben unklar
Warum die Teamleiter diese Informationen über ihre Mitarbeitenden sammelten, ist unklar. In Mitarbeiterkreisen gibt es die Vermutung, die gesammelten Informationen sollten beispielsweise bei der Entscheidung über ein weiteres Beschäftigungsverhältnis genutzt werden. Die meisten der etwa 700 Mitarbeitenden in Nürnberg besitzen nur befriste Verträge. Doch liegt das Motiv weiter im Dunkeln. H&M hat eine BR-Anfrage dazu bislang unbeantwortet gelassen.
Verdacht: Betroffene bekommen manipulierte Daten
Die Mitarbeitenden bekamen nun das Recht eingeräumt, die über sie gesammelten Daten einzusehen. Nach Recherchen des BR Studio Franken und des BR-Politikmagazins Kontrovers scheint es dabei bisher teils zu massiven Unstimmigkeiten gekommen zu sein. Mehrere Mitarbeitende berichten von angeblichen Fristversäumnissen. Auch sollen manche Daten nachträglich manipuliert worden sein, obwohl diese seit Bekanntwerden des Falls Unternehmensangaben zufolge nicht geändert werden dürfen. Den Vorwurf der Manipulation von Daten wies H&M auf BR-Anfrage zurück. Es könnten keine Änderungen an den Daten vorgenommen werden, erklärte die Pressestelle des Unternehmens.
Johannes Caspar, Hamburger Datenschutzbeauftragter
Größter Datenschutz-Verstoß der vergangenen Jahre
Seit der Vorfall im Oktober bekannt wurde, übernahm die für H&M zuständige Datenschutzbehörde in Hamburg den Fall und veranlasste die sofortige Sicherstellung der gesammelten Daten. Die Behörde prüft den Vorfall nun intensiv – insgesamt seien 66 Gigabyte an Daten auf dem Ordner zu finden.
"Qualitativ und quantitativ wäre das ein massiver Verstoß gegen die Datenschutzregeln, der die letzten Jahre sicher seines gleichen sucht." Johannes Caspar, Hamburger Datenschutzbeauftragter
Sollte sich der Verdacht bewahrheiten, stehe laut Datenschutzgrundverordnung ein Bußgeld bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes des Unternehmens im Raum.
H&M entschuldigt sich und verspricht umfassende Aufarbeitung
H&M hat betroffenen Beschäftigten versprochen, den Vorfall umfassend aufzuarbeiten. Nachdem alle betroffenen Mitarbeitenden ihre Daten einsehen konnten und die Prüfung der Aufsichtsbehörde beendet ist, sollen alle Daten vollständig gelöscht werden. Im Januar sollen die Führungskräfte zudem ein Datenschutztraining erhalten.
Spitzelvorwürfe gegen H&M: Mitarbeiter ausgehorcht