Ved kortere og lengre fravær grunnet ferie eller sykdom ble det gjennomført «Welcome back» samtaler med de ansatte ved et H&M servicekontor i Nürnberg. I disse samtalene ble detaljer om hva den enkelte hadde gjort i ferien og/eller hvilke symptomer og sykdommer den enkelte hadde hatt diskutert og senere registrert. Informasjon fra uformelle og tilfeldige samtaler ble også registrert, blant annet familieproblemer og religiøse oppfatninger. Dette ble igjen brukt i som grunnlag for beslutninger om den ansatte, for eksempel ved spørsmål om forfremmelser.

Omkring 50 ledere hadde tilgang til dette systemet til enhver tid, men i oktober 2019 ble informasjonen ved en feil gjort tilgjengelig for hele virksomheten i noen timer. Det tyske datatilsynet ble informert om hendelsen gjennom media og påla H&M øyeblikkelig om å «fryse» dataene og få dem utlevert for deres gjennomgang.

Til tross for at det tyske datatilsynet omtaler H&Ms oppfølgning av bruddet som enestående – fordi virksomheten blant annet var raske med å gi de berørte en unnskyldning og tilby et omfattende beløp i erstatning til den enkelte – ble overtredelsesgebyret satt til ett av de største siden personvernforordningen trådte i kraft i 2018.

Lederen i det tyske datatilsynet uttalte at størrelsen på overtredelsesgebyret er hensiktsmessig sett i lys av at virksomheten har ignorert de ansattes rett til personvern og er egnet til å avskrekke andre selskaper fra å krenke personvernet til sine ansatte.

Saken er en påminnelse om at manglende etterlevelse av regelverket kan få store økonomiske kostnader for virksomheter.