H&M sorgte mit Ihrer DSGVO-Strafe für großes Aufsehen, da das Unternehmen ein Bußgeld in Höhe von 532,5 Mio € wegen übermäßiger Überwachung der Mitarbeiter zahlen muss. Das ist bis dato die erste große Geldstrafe die im Rahmen der GDPR und Arbeitnehmerdaten verhängt wurde.
Eine kurze Zusammenfassung: im Jahr 2019 kam es im Servicecenter von H&M in Nürnberg durch einen Konfigurationsfehler zu einer Datenschutzverletzung, wodurch erst das ganze Ausmaß bekannt wurde. Seit mindestens 2014 sammelte und speicherte das Unternehmen Daten über das Privatleben seiner Mitarbeiter, wie beispielsweise Urlaubserfahrungen, Familienangelegenheiten, religiöse Überzeugungen und Krankheitsdiagnosen. Der Hamburger Datenschutzbeauftragte Prof. Dr. Johannes Casper erklärte, dass der Fall "... eine schwerwiegende Missachtung des Arbeitnehmerdatenschutzes am H&M Standort in Nürnberg dokumentiert." Die Höhe des Bußgeldes solle die Bedeutung des Arbeitnehmerdatenschutzes deutlich symbolisieren.
H&M hat die volle Verantwortungen übernommen und sich bei allen betroffenen Mitarbeiten entschuldigt. Einige Prozesse wurden verändert, sodass ein solcher Zwischenfall nicht wieder passieren kann. Den Bericht und das Statement finden Sie im jeweiligen Link.
Datenminimierung ist ein wichtiges Prinzip der GDPR. Die Absicht dahinter ist, für den vorgesehenen Zweck angemessene und relevante Daten zu erfassen, aber gleichzeitig sicherzustellen, dass die nur die notwendigsten Daten gespeichert werden. Das Speichern und Verarbeiten von übermäßigen Daten verstößt demnach gegen dieses Prinzip. Ab wann Daten überschüssig gespeichert werden ist ein Stück weit Grauzaune, die Botschaft der DSGVO lautet aber eindeutig: weniger ist mehr.
Fragen Sie sich einmal selbst: Wann bekomme ich das nächste Mal Daten aus der Produktion und welche Projekte müssen dazwischen getestet werden? Welche Daten Sie benötigen, ist von Ihrer Antwort abhängig. Nachfolgend einige Schlüsselfragen, die Ihnen als Leitfaden dienen können:
Ich habe festgestellt, dass nach einer ehrlichen Bewertung für die meisten Daten eine Rückkopie der Transaktionsdaten von sechs bis neun Monaten, ohne Änderungsdokumente/Workflow oder IDOC-Historie, für ein ganzes Jahr an Tests ausreicht. Außerdem ist die Mehrheit der Tests und Schnittstellen auf die Schlüsselinformationen angewiesen, nicht auf die PII-Werte von Namen, Adressen und Telefonnummern. Bei einem Audit könnte alles, was über diesen Bedarf hinausgeht, als übermäßig angesehen werden.
Im Fall von H&M ist eindeutig, dass Daten gesammelt und gespeichert wurden, für die das Unternehmen kein Recht hatte. Doch oftmals ist es für Unternehmen schwierig zu bewerten, welche personenbezogene Daten relevant sind für das Business und die Arbeitsverhältnisse und welche nicht. Als ausgeschiedener Mitarbeiter hätte ich beispielsweise Verständnis dafür, wenn mein ehemaliger Arbeitgeber meine Telefonnummer ein weiteres Jahr speichert, jedoch nicht weitere 10 Jahre.
Doch wie finde ich heraus, ab wann ich meine Rechte bei der Datenspeicherung überschreite? Und wie kann man in einem komplexen und vernetzten ERP-System wie SAP, Daten rückwirkend bereinigen?
Auf dem Markt finden Sie Software die speziell dafür entwickelt wurde, Ihre Daten während der Datenkopien zu trennen. Es gibt jedoch auch Methoden, mit denen Sie das Risiko innerhalb der normalen Prozesse kontrollieren können:
Das Verfremden oder Ändern von sensiblen Daten kann eines der schwierigsten Probleme für Ihr Team sein. Sie möchten Datenqualität in der Produktion aber kein Risiko haben. Externe Expertise kann Ihnen hierbei weiterhelfen. Improvisierte Lösungen sind zwar hilfreich und erfüllen ihren Zweck, doch sind nach meiner Erfahrung oft ineffizient. Neben effizienter Software hat EPI-USE Labs auch die nötige Erfahrung aus vergangenen Projekten, in den verschiedensten Branchen und Unternehmensgrößen.
Beim Thema DSGVO denken viel zuerst and die Speicherung und Verarbeitung von Kundendaten. Das Urteil gegen H&M legt einen völlig anderen Fokus und zwar auf die persönlichen Daten der Mitarbeiter. Zwar müssen manche Daten auch nach dem Austritt aus dem Unternehmen gespeichert werden, nur sollten hier die treibenden Fragen sein: Welche Daten werden wie lange gespeichert?
Hier ein paar Beispiele:
In ersten Gesprächen mit unseren Kunden höre ich oft: "Wir haben bereits Regeln zur Aufbewahrung unsere Mitarbeiterdaten." Bereits eine einzige Frage ruft aber oft Unsicherheiten hervor: "Was ist mit den verknüpften Lieferanten?" Oder ein weiterer Satz den ich oft höre: "Wir verwenden Autorisierungskontrollen, um unsere Daten zu schützen." Wenn es aber tatsächlich zu einer Datenpanne kommt, wird Ihnen das nicht viel helfen. Hierfür ist es immer am Besten, die Daten tatsächlich zu entfernen.
Auch Ihre transaktionalen SAP Daten sind nicht sicher. Viele Unternehmen mit denen ich spreche, hat die Belege auf dem Spesenkonto so konfiguriert, dass in einem Textfeld neben der zu bezahlenden Person auch andere Details zusammengefasst sind.
Wir haben seit der Verabschiedung der DSGVO in den letzten zwei Jahren viel gelernt. Das SAP System aus einer datenschutzrechtlichen Perspektive zu untersuchen und den ganzen Umfang des vorhandenen Risikos zu verstehen, kann entmutigend und frustrierend sein. EPI-USE Labs kann Sie bei dieser Aufgabe unterstützen, um einen genaueren Einblick in dieses Thema zu erhalten.