Datenschutz

HmbBfDI Hamburg: Datenschutz und H&M-Bußgeld

HmbBfDI 2026: H&M €35,3M, Vattenfall, Hapag-Lloyd — Hamburger Beauftragter für Datenschutz und Informationsfreiheit im Detail.

TD
Dr. Thiébaut Devergranne
3. Juni 20263 min read

In einem Satz. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) mit Sitz in Hamburg ist Aufsicht für öffentliche und nicht-öffentliche Stellen in Hamburg, leitet seit 2021 Thomas Fuchs (Nachfolger Johannes Caspar) und ist deutschlandweit bekannt durch den H&M-Bescheid 2020 (€35,3 Mio.) — das damals größte deutsche DSGVO-Bußgeld — sowie zahlreiche Big-Tech-Verfahren (Facebook, Meta, ClearView AI).

Hamburg ist als Konzernsitz von Beiersdorf, Hapag-Lloyd, Vattenfall Deutschland und Facebook-Niederlassung sowie als Medienstandort (NDR, Bauer-Verlag, Gruner+Jahr) ein Datenschutz-Hotspot. Der HmbBfDI hat eine starke Tradition in der Auseinandersetzung mit US-Plattformen, geprägt durch den langjährigen Vorgänger Johannes Caspar (2009-2021). Siehe BfDI.

Wichtige Punkte

  • HmbBfDI Thomas Fuchs seit November 2021, Nachfolger Johannes Caspar.
  • Sitz Hamburg, rund 45 Mitarbeiter.
  • H&M 2020: €35,3 Mio. — damaliges deutsches Rekord-Bußgeld.
  • Aktive Big-Tech-Aufsicht: Facebook/Meta, ClearView AI, WhatsApp.
  • Hapag-Lloyd, Vattenfall, AOK Hamburg als prominente nationale Fälle.

1. Struktur und Organisation

Aspekt Wert
Sitz Ludwig-Erhard-Straße 22, Hamburg
Leiter Thomas Fuchs (seit Nov. 2021)
Mitarbeiter ~45
Zuständigkeit öffentliche und nicht-öffentliche Stellen Hamburg

2. H&M-Bescheid 2020

Größtes deutsches DSGVO-Bußgeld seiner Zeit:

  • Sachverhalt: Servicecenter H&M Nürnberg dokumentierte private Lebensumstände von Mitarbeitern (Krankheiten, Religion, Familie) und nutzte diese für Bewertungen
  • Datenleck führte zur Aufdeckung
  • Sanktion: €35,3 Mio. (Oktober 2020)
  • H&M leistete Schadensersatz an Betroffene, akzeptierte Bescheid

Lehre: Mitarbeiter-Profiling und übermäßige Personalakten-Detaillierung sind DSGVO-Bombe.

3. Vattenfall-Fall

Vattenfall Deutschland-Tochter wegen Profiling-Praktik bei der Marketingdatennutzung sanktioniert. Konsequenz: Compliance-Programm-Verschärfung, kein veröffentlichter Bußgeldbescheid.

4. Facebook/Meta-Verfahren

HmbBfDI als Sitz-Aufsicht von Facebook Germany lange Zeit aktiv:

  • WhatsApp-Datenweitergabe an Facebook (2016): Unterlassungsverfügung
  • 2021: erneute Unterlassungsverfügung gegen WhatsApp wegen geänderter AGB
  • Bedeutung: Erstmals deutsche Aufsicht gegen Big Tech mit Unterlassung
  • Seit Irland federführend (IDPC): HmbBfDI Aufsichtsrolle eingeschränkter

5. ClearView AI

HmbBfDI verhängte 2020 Unterlassungsanordnung gegen ClearView AI:

  • Sachverhalt: Gesichtsbilder-Sammlung aus Internet, kommerzielle Nutzung
  • ClearView weigerte sich zu kooperieren
  • Folge: weitere EU-Aufsichten folgten (CNIL, ICO, AEPD)

6. AOK Hamburg-Fall

Lufthansa-Tochter Miles & More:

  • Sachverhalt: Unrechtmäßige Werbenutzung von Adressdaten
  • Sanktion: €1,24 Mio.
  • Ähnliche Konstellation wie AOK Baden-Württemberg

7. Weitere Verfahren

Fall Bereich Sanktion/Ergebnis
Hapag-Lloyd Mitarbeiter-Datenleck Maßnahmen
Beiersdorf Werbedatenstrategie Auflagen
Bauer-Verlag Newsletter-Tracking Verwarnung
ClearView AI Gesichtserkennung Unterlassung
Telefon-Hacker-Forum Forenbetreiber-Pflichten Stellungnahme

8. Tätigkeitsbericht 2024

Kennzahlen 2024 (Bericht 2025):

  • ~4.500 Beschwerden eingegangen
  • ~2.500 abgeschlossene Verfahren
  • ~70 Bußgeldbescheide
  • Bußgeldsumme ~ 3 Mio. Euro

9. Schwerpunkte unter Thomas Fuchs

Neue Akzente:

  • Künstliche Intelligenz (Chatbots, KI-Recruiting)
  • Hamburger Schulen und Bildung
  • Tracking und Cookie-Banner
  • Medienunternehmen (Newsletter, Tracking)
  • Internationale Kooperation (EDSA)

10. Internationale Rolle

HmbBfDI ist im EDSA (Europäischer Datenschutzausschuss) aktiv:

  • Beiträge zu Big-Tech-Leitfäden
  • One-Stop-Shop-Verfahren
  • Stellungnahmen zu Cloud und KI

11. Tool-Unterstützung

Legiscope hilft hamburgischen Unternehmen mit VVT, Mitarbeiter-DSFA (relevant seit H&M) und Datenschutzfolgenabschätzungen.

Fazit

HmbBfDI hat mit H&M und ClearView gezeigt: Hamburger Aufsicht traut sich an Big Tech und Großkonzerne heran. Wer als Mittelständler in Hamburg sitzt, profitiert von kürzeren Reaktionszeiten — aber auch von strengerer Beobachtung.

FAQ

Wer ist der HmbBfDI?

Thomas Fuchs, seit November 2021. Vorgänger Johannes Caspar (2009-2021), eine prägende Figur der deutschen Datenschutzgeschichte.

Was war der H&M-Fall?

€35,3 Mio. Bußgeld 2020 wegen exzessiver Mitarbeiter-Profilbildung im Nürnberger Servicecenter — damals deutsches Rekord-Bußgeld.

Ist Facebook-Aufsicht noch beim HmbBfDI?

Seit Meta-Niederlassung in Irland ist IDPC (Dublin) federführend. HmbBfDI hat ergänzende Aufsichtsrolle.

Wie viele Mitarbeiter hat HmbBfDI?

Etwa 45 — deutlich kleiner als BayLDA oder LfDI BaWü (jeweils ~80).

Wo reiche ich eine Beschwerde ein?

Online auf datenschutz-hamburg.de oder schriftlich. Anonyme Eingaben werden meist auch geprüft.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →