H&M som koncern och GDPR-skandalen i Tyskland

På H&M:s servicecenter i Nürnberg har ledningen skapat över 60 GB med olagliga personuppgiftssamlingar. Frankfurter Allgemeine Zeitung rapporterade om detta i oktober 2019 och har sedan följt upp fallet. Nyheten har också i vågor uppmärksammats i andra medier. H&M:s tyska huvudkontor finns i Hamburg, därför är Hamburgs tillsynsmyndighet ansvarig för utredningen, som leds av Johannes Caspar.

Att ett flagrant brott och storskaligt mot GDPR har skett förefaller sannolikt. – Både vad gäller kvalitet och kvantitet kan detta vara ett massivt brott mot dataskyddsreglerna som saknar motstycke under de senaste åren, säger Johannes Caspar till det tyska public servicebolaget Bayerischer Rundfunk, enligt Dagens Nyheter. 

Hur långt kommer konsekvenserna att gå? Kommer hela koncernen att smittas av fallet? GDPR ska beträffande koncernansvar använda samma synsätt som tillämpas inom EU:s konkurrensrätt. Kommer detta att ske och i så fall på vilket sätt? Blir i så fall Datainspektionen inblandad? H&M koncernen har ju sitt säte i Sverige. Frågorna är många.

Dessutom finns en historia av anklagelser om spioneri på anställda i Tyskland, som går minst 15 år tillbaka. Se t.ex. denna artikel i SvD. Vilken betydelse ges detta faktum, även om det är från tiden före GDPR? 60 GB text skapas trots allt inte utan tidsåtgång.