Kledingketen H&M moet in Duitsland een boete van 35 miljoen euro betalen voor het schenden van de privacy van zijn personeel. De overtredingen vonden plaats sinds 2014, maar gingen door tot na de inwerkingtreding van de GDPR. De winkelketen hield gedetailleerde informatie bij over werknemers.
De van oorsprong Zweedse winkelketen kreeg de boete van de lokale databeschermingsautoriteit in Hamburg in Duitsland. Hennis & Mauritz moet 35.258.707,95 euro betalen voor overtredingen in zijn servicecentrum in Nuremberg. Die vonden sinds 2014 plaats. In het centrum werd 'uitgebreide informatie over het privéleven van werknemers centraal verzameld', zegt de Hamburgse toezichthouder. Werknemers die vakantie namen of ziek werden of zelfs korte periodes vrij hadden kregen na terugkomst een 'welkom terug-gesprek' met hun leidinggevende. Tijdens die gesprekken werd opgenomen wat de werknemers tijdens hun vakanties hadden gedaan, en welke ziektesymptomen en diagnoses ze kregen.
Ook in andere gesprekken werden volgens de toezichthouder veel details over de privélevens van de werknemers opgeslagen, zoals familiezaken en religieuze overtuigingen. Die informatie werd opgeslagen op een netwerkschijf waar zeker vijftig managers toegang toe hadden. De informatie werd onder andere gebruikt om werkevaluaties uit te voeren.
De dataverzameling kwam in oktober vorig jaar aan het licht. Door een configuratiefout was de data toen korte tijd beschikbaar voor iedereen binnen het concern. De toezichthouder begon daarop een onderzoek. H&M droeg in totaal meer dan zestig gigabyte aan informatie over voor dat onderzoek.
H&M heeft na het onderzoek zijn verontschuldigingen aangeboden aan werknemers. Ook heeft het bedrijf zelf een nieuw plan opgesteld om databescherming beter te regelen. Daarin staat onder andere opgenomen dat er een nieuwe databeschermingscoördinator wordt aangenomen, dat er maandelijkse statusupdates komen, en dat er betere bescherming voor klokkenluiders komt.
Medewerkers krijgen ook recht op een schadevergoeding. Die wordt buiten het boetebedrag om uitgekeerd. Daarvoor moeten medewerkers wel minimaal een maand in dienst zijn geweest sinds mei 2018, toen de Europese privacywet in werking trad. De hoogte van de schadevergoeding is nog niet bekend.
Het bedrag is het hoogste boetebedrag dat onder de GDPR in Duitsland is uitgedeeld. In heel Europa is het de op een-na-hoogste boete, naast die van Google van 50 miljoen.