Der Hamburger Datenschutzbeauftragte Johannes Caspar sah es als erwiesen an, dass die schwedische Modekette seine Mitarbeiter im Service Center Nürnberg "massiv ausspionierte". Laut ihm soll es schon seit knapp sechs Jahren „zu umfangreichen Erfassungen privater Lebensumstände“ der Mitarbeiter gekommen sein. Ein Verstoß gegen den geltenden Beschäftigtendatenschutz.

Zu den privaten Mitarbeiterdaten, die auf einem Netzlaufwerk gespeichert wurden, gehören (wie das Internetportal "Basic Tutorials" berichtet) "wohl detaillierte Urlaubserlebnisse der Mitarbeiter und auch Krankheitssymptome sowie die entsprechenden Diagnosen". Außerdem sollen weitere private Informationen zum Privatleben, wie etwa religiöse Einstellung und familiäre Probleme, auf dem Server abgelegt gewesen sein.

Die widerrechtliche Datenerfassung fiel im Oktober 2019 auf, als die eigentlich gesicherte Datei durch einen Konfigurationsfehler für alle Personen über Stunden sichtbar auf dem Server lag. Die wurde daraufhin sichergestellt und vom Hamburger Datenschutzbeauftragten untersucht. (H&M hat seinen deutschen Geschäftssitz in der Hansestadt und fällt deshalb in diesen Zuständigkeitsbereich.)

In Folge der Ermittlungen zeigte sich H&M nach Angaben des Hamburger Datenschutzbeauftragten kooperativ und trennte sich in diesem Zusammenhang von einer in den Vorfall verwickelten Führungskraft. Außerdem erstellte H&M ein neues, umfangreiches Datenschutzkonzept, das jetzt umgesetzt werden soll.

Bisher hat H&M den gegen das Unternehmen ergangenen Bußgeldbescheid noch nicht akzeptiert und ist noch in der Prüfung. Gegenüber der Datenschutzbehörde gelobten die Schweden jedoch Besserung und verpflichteten sich dazu, die Datenschutzgrundverordnung künftig einzuhalten.