In einem zunehmend digitalen Umfeld sind der Schutz der Privatsphäre der Verbraucherinnen und Verbraucher sowie der verantwortungsvolle Umgang mit Daten von zentraler Bedeutung für die Wahrung von Vertrauen und langfristigen Kundenbeziehungen. Datenschutz schützt das Recht des Einzelnen auf die Wahrung seiner personenbezogenen Daten und stellt damit eine wesentliche Voraussetzung für das digitale Geschäftsmodell des Unternehmens dar, insbesondere vor dem Hintergrund der zunehmenden Bedeutung von Kundendaten. Verstöße gegen datenschutzrechtliche Bestimmungen oder Datenschutzverletzungen können betroffene Personen unmittelbar beeinträchtigen und zugleich erhebliche Compliance-, Finanz- und Reputationsrisiken für HUGO BOSS nach sich ziehen.
In Übereinstimmung mit den EU-„Quick-Fix“-Erleichterungen für das Geschäftsjahr 2025 wendet HUGO BOSS ausgewählte Erleichterungen im Zusammenhang mit der Berichterstattung zu ESRS S4 an. Entsprechend wurde S4 zwar als wesentlich eingestuft, das vorliegende Kapitel enthält jedoch zusammengefasste Angaben mit Fokus auf zentrale Richtlinien, Maßnahmen, Ziele und Kennzahlen.
Konzepte in Zusammenhang mit Verbrauchern und Endnutzern
HUGO BOSS verpflichtet sich, personenbezogene Daten gemäß der EU-Datenschutz-Grundverordnung (DSGVO) sowie weiteren anwendbaren Datenschutzvorschriften zu schützen. Hierzu bestehen spezielle Datenschutzrichtlinien, darunter die konzernweit geltende Datenschutzleitlinie sowie die Beschwerderichtlinie zum Umgang mit Datenschutzverletzungen. Diese Richtlinien informieren Verbraucherinnen und Verbraucher über die Erhebung und Verarbeitung personenbezogener Daten, unter anderem im eigenen Onlinestore hugoboss.com, in unserem Kundenbindungsprogramm, in mobilen Anwendungen sowie auf der Unternehmenswebsite, und erläutern die sich aus der DSGVO ergebenden Betroffenenrechte. Dazu zählen insbesondere das Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruchsrecht. Die im Onlinestore sowie auf der Konzernwebsite zugänglichen Richtlinien gelten für sämtliche im Unternehmen verarbeiteten personenbezogenen Daten. Verbraucherinnen und Verbraucher können potenzielle Datenschutzverletzungen über sichere Meldekanäle anzeigen, darunter die direkte Kontaktaufnahme mit unserem Datenschutzbeauftragten, die Übermittlung von Hinweisen per E-Mail oder die Kontaktaufnahme mit einer externen Ombudsperson, jeweils auch mit der Möglichkeit einer anonymen Meldung. Der Datenschutzbeauftragte berichtet an den Chief Compliance Officer, der wiederum dem CFO/COO direkt unterstellt ist. Er ist für die Überwachung der Einhaltung dieser Richtlinien verantwortlich und fungiert als zentrale Ansprechperson für sämtliche Datenschutzanfragen.
Ziele im Zusammenhang mit Verbrauchern und Endnutzern
HUGO BOSS verfolgt den Anspruch, Verstöße gegen geltendes Datenschutzrecht weitestmöglich auszuschließen. Im Geschäftsjahr 2025 wurde in Deutschland eine behördlich festgestellte Datenschutzverletzung bestätigt, ohne dass daraus Sanktionen resultierten. Die zuständige deutsche Aufsichtsbehörde hatte die entsprechende Prüfung bereits im Jahr 2024 infolge einer Kundenbeschwerde im Zusammenhang mit dem Erhalt von Marketinginhalten eingeleitet. Das Verfahren wurde im Jahr 2025 ohne weitere Maßnahmen abgeschlossen. Darüber hinaus wurden keine weiteren behördlich festgestellten Datenschutzverletzungen verzeichnet.
Maßnahmen im Zusammenhang mit Verbrauchern und Endnutzern
Zur Stärkung der Informationssicherheit nutzt HUGO BOSS ein Informationssicherheits- und Analysesystem, das eine Echtzeitüberwachung potenzieller Sicherheitsvorfälle und Datenschutzverletzungen ermöglicht. Das Unternehmen verfügt über ein nach ISO/IEC 27001 zertifiziertes Informationssicherheitsmanagementsystem und betreibt ein Security Operation Center (SOC), um eine kontinuierliche Überwachung der IT-Landschaft sicherzustellen. Darüber hinaus überprüft HUGO BOSS regelmäßig die geltenden Datenschutzvorschriften in allen relevanten Rechtsordnungen. Eine speziell entwickelte Risikobewertungsmatrix, die unternehmensspezifische Strukturen in den jeweiligen Ländern berücksichtigt, unterstützt einen zielgerichteten und effizienten Ansatz zur Steuerung regulatorischer Risiken.
Interne Prozesse und Systeme zur Verarbeitung personenbezogener Daten werden kontinuierlich überwacht und weiterentwickelt, um die Einhaltung gesetzlicher Datenschutzvorgaben sicherzustellen. Diese laufenden Verbesserungen dienen der Prävention von Datenmissbrauch und Datendiebstahl. Für den Fall von Datenschutzverstößen sind Notfallpläne implementiert, die eine unverzügliche Umsetzung technischer und organisatorischer Gegenmaßnahmen ermöglichen. Mitarbeitende, die personenbezogene Daten verarbeiten, erhalten regelmäßige Schulungen, einschließlich eines verpflichtenden DSGVO-E-Learning-Programms für Beschäftigte, die personenbezogene Daten von EU-Bürgern verarbeiten, um ein dauerhaftes Bewusstsein für datenschutzrechtliche Verantwortlichkeiten sicherzustellen.