Der aus vielen Innenstädten und Einkaufszentren bekannten Modekette H&M wird vom Hamburger Datenschutzbeauftragten Johannes Caspar vorgeworfen, systematisch Mitarbeiterdaten ausspioniert zu haben. Dabei geht es nicht um Kleinigkeiten, sondern um die Aufzeichnung sensibelster Daten zu Krankheiten und anderen persönlichen Umständen. Teamleiter fragten offenbar gezielt nach Privatem im Leben der Mitarbeitenden. Aber auch in Pausen war die Neugier des Arbeitgebers H&M offenbar groß und so wurden Informationen in freundschaftlicher Atmosphäre gesammelt und in seitenlangen Dokumenten festgehalten. Dabei ging es um Medikamente, Probleme in Partnerschaften oder umfassende Krankheitsverläufe. Die Vermutung liegt nahe, dass diese Informationen bei Fragen rund um das Beschäftigungsverhältnis des jeweiligen Mitarbeiters aus Sicht des Unternehmens genutzt werden sollten.

Inzwischen hat sich der im Herbst aufgekommene Ausforschungsverdacht gegen H&M und sein Nürnberger Kundencenter so erhärtet, dass ein Bußgeldverfahren von Seiten des hamburgischen Datenschutzbeauftragten gegen H&M eingeleitet wurde. Die Hamburger Datenschutzbehörde ist zuständig, da die Deutschlandzentrale von H&M ihren Sitz in der Hansestadt hat. Jetzt kann es teuer werden. Theoretisch kann die Aufsichtsbehörde ein Bußgeld in Höhe von 4 Prozent des globalen Jahresumsatzes verhängen. Einen derart gravierenden Verstoß haben die Datenschützer nach ihrem Bekunden lange nicht mehr gesehen. Sie sprechen von einem Fall, der ohne vergleichbares Beispiel in den letzten Jahren ist. Doppelt teuer kann es für den schwedischen Modekonzern werden, weil auch das Image einen schweren Schaden erlitten haben könnte.

Inzwischen hat sich auch die Vorstandsvorsitzende der H&M-Gruppe, Helena Helmersson, zu den Vorgängen geäußert. In einem Fernsehinterview tat sie es aber so ungeschickt und unglücklich, dass Zweifel an ihrer Haltung zum Datenschutzrecht entstanden. Sie kenne nicht alle Details, antwortet sie auf eine Frage, ob höchstpersönliche Informationen zu Mitarbeitern überhaupt gesammelt werden sollten. Diese Antwort hinterlässt Fragezeichen. „Selbst wenn solche Maßnahmen nicht von ganz oben angeordnet wurden, zeigen solche Fälle, dass entweder die Datenschutz-Kultur im Unternehmen nicht angemessen ist oder die Mitarbeiter, die ggf. eigenmächtig solche Daten gesammelt haben, nicht ausreichend sensibilisiert sind,“ unterstreicht UIMC-Geschäftsführer Dr. Jörn Voßbein mit einem Hinweis auf notwendige Schulungs- sowie Revisions- und Auditierungsnotwendigkeiten in jedem Unternehmen auch im Datenschutz.