Zum Inhalt springen Zur Navigation springen
Informationspflicht: Aufsichtsbehörde in Polen verhängt Bußgeld

Informationspflicht: Aufsichtsbehörde in Polen verhängt Bußgeld

Die polnische Aufsichtsbehörde hat ein erstes Bußgeld gegen ein Unternehmen, was für kommerzielle Zwecke personenbezogene Daten verarbeitete, in Höhe von 219.500 € verhängt. Grund ist der Verstoß gegen die Informationspflichten nach Art. 14 DSGVO. Das verhängte Bußgeld bietet nun die Grundlage für eine breite Diskussion, wann die Informationspflicht sich als unverhältnismäßig aufwändig für den Verantwortlichen herausstellt.

Hintergrund

Das Unternehmen hat seine Informationspflicht nur gegenüber den Personen ausgeübt, von denen sie die E-Mail-Adresse hatten und informierten daher nur einen Bruchteil der Betroffenen. Bei den restlichen Personen waren nur Telefonnummern oder Postanschrift vorhanden und hatten dementsprechend nur die Gelegenheit von der Informationsklausel auf der Unternehmens Website Kenntnis zu nehmen.

Das Unternehmen habe die Informationspflicht gegenüber 6 Millionen Menschen – aufgrund hoher Betriebskosten – nicht erfüllt. Zudem haben sich mehr als 12.000 von den rund ca. 90.000 Personen, die über die Verarbeitung durch das Unternehmen informiert wurden, gegen die Verarbeitung ihrer Daten ausgesprochen. Das zeigt, wie wichtig die Informationspflicht für die Geltendmachung der Betroffenenrechte ist, so die polnische Aufsichtsbehörde.

Die Aufsichtsbehörde sah in diesem Fall sogar eine vorsätzliche Verletzung für die Datenverarbeitung, da sich das Unternehmen der Verpflichtung zur Bereitstellung relevanter Informationen sowie der Notwendigkeit durchaus bewusst war.

Außerdem wird die unzureichende Kooperation des Unternehmens mit der Aufsichtsbehörde bemängelt, da hier weder Abhilfemaßnahmen ergriffen wurden, um die Zuwiderhandlung zu beenden, noch wurde eine dahingehende Absicht geäußert.

Ausnahmen von der Informationspflicht

Art. 14 Abs. 5 lit. b DSGVO sieht eine Ausnahme der Informationspflicht für solche Fälle vor, in denen sich die Erteilung der Information als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde. Nach Erwägungsgrund 62 sollten für die Ausnahmeregelung Anhaltspunkte wie etwa die Zahl der betroffenen Personen, das Alter der Daten sowie geeignete Garantien in Betracht gezogen werden.

Laut der Art. 29 Datenschutzgruppe ist der Verantwortliche in jedem Fall dazu gehalten, eine Abwägung zwischen seinem durch die Information entstandenen Aufwand und den Informationsinteressen der betroffenen Person vorzunehmen und deren Ergebnis zu dokumentieren. Selbst bei einem Entfall der Informationspflicht, hat der Verantwortliche dennoch geeignete Maßnahmen zu ergreifen, um die Rechte und Freiheiten und Interessen der betroffenen Person zu schützen.

Das Unternehmen beruft sich in seiner Stellungnahme auf einen unverhältnismäßigen Aufwand gem. Art. 14 Abs. 5 lit. b DSGVO, da die Informationserteilung bei den Personen wo die Telefonnummern oder Postanschrift vorhanden war, nur per Post möglich gewesen wäre.

Das Unternehmen äußert sich hierzu wie folgt:

„Wir stellen die Auslegung der DPA in Frage, was als verhältnismäßige Anstrengung angesehen wird. In den Fällen, in denen wir E-Mail-Adressen hatten (679 000 Adressen), haben wir dort Informationen nach Artikel 14 per E-Mail versandt, aber zusätzlich zu verlangen, dass 5,7 Millionen Datensätze von Einzelunternehmern und Mitgliedern von Gesellschaftsorganen von Unternehmen usw. per Post oder Telefon informiert werden, kann nicht als verhältnismäßiger Aufwand angesehen werden.“

Die Meinungen gehen auseinander

Erste Pressestimmen in Polen fragen sich, ob das ein sinnvolles erstes Bußgeld ist, da sich das Unternehmen zumindest mit der DSGVO auseinandergesetzt habe und das Unterlassen der Information nichts über die Sicherheit und den Umgang mit den Daten aussage. Zudem gäbe es im Direktmarketing andere viel größere Datenschutzprobleme und Sünder.

Die progressive Partei Wiosna forderte den Premierminister auf, Sanktionen für Verstöße gegen die DSGVO für ein Jahr auszusetzen und sich stattdessen auf eine Informationskampagne zur korrekten Anwendung der neuen Bestimmungen zu konzentrieren.

Auf der anderen Seite steht die Aufsichtsbehörde, welche der Meinung ist, die Informationserteilung per Post sei keine unmögliche Tätigkeit oder ein unverhältnismäßiger Aufwand. Zumal das Unternehmen mit den gesammelten, öffentlichen personenbezogenen Jahren seit Jahren Gewinne macht.

Update:

Zwischenzeitlich wurde das Bußgeld in erster Instanz verhandelt. Dabei wies das Gericht die Auffassung des Klägers zurück, in diesem Fall würde die Ausnahme des Art. 14 Abs. 5 lit. b DSGVO greifen, weil die Kosten für das Briefporto zu hoch ausfallen würden. Dennoch wurde das Bußgeld aufgehoben, da man bei der Berechnung dessen Höhe Verfahrensmängel durch die polnische Datenschutzaufsichtsbehörde festgestellt hatte. Diese muss das Bußgeldverfahren nun erneut durchführen. Mehr dazu finden Sie in der englischen Pressemitteilung der Behörde.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Die Firma hat die Daten aus dem öffentlichen Handelsregister erhoben. In Polen sind die Handelsregister von Gesellschaften und Einzelunternehmen kostenlos online verfügbar. Die Unternehmen können (müssen aber nicht) dort auch ihre E-Mail Adresse angeben.

  • @Achim Hubert: 6 Mio. Einträge aus dem Handelsregister und 12.000 Widerrufe, die ignoriert wurden? Das ist nicht glaubhaft, dass alle Daten rechtskonform in öffentlich zugänglichen Quellen erhoben wurden.

    • Of course it is possible. The issue was not about illegal access to data. The use of publicly accessible data is legal in Poland, as it probably is in Germany. The fine was for not complying with requirements of art. 14 GDPR – notification of data subjects. Therefore it looks debatable.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.