Polnische Aufsichtsbehörde verhängt hohes Bußgeld wegen Nichteinhaltung von Informationspflichten

Die polnische Datenschutzaufsichtsbehörde Urząd Ochrony Danych Osobowych (UODO) hat ein Bußgeld in Höhe von 219.538 Euro wegen Nichteinhaltung von Informationspflichten gegenüber betroffenen Personen verhängt.

Daten aus öffentlich zugänglichen Quellen

Das Bußgeld richtete sich gegen den polnischen Ableger des schwedischen Aktienunternehmens Bisnode AB, einem Anbieter für digitale Wirtschaftsinformationen, das für kommerzielle Zwecke personenbezogene Daten verarbeitet, die aus öffentlich zugänglichen Quellen stammen (u.a. aus dem elektronischen Zentralregister) und solche, die die Wirtschaftstätigkeit betroffener Personen betrafen.

Bisnode reicherte mit diesen Informationen eine eigene Datenbank an und informierte nur einen Bruchteil der aufgeführten Personen per E-Mail über die Verarbeitung ihrer Daten. Grund: Die E-Mail-Adressen der weit überwiegenden Mehrzahl der rund 6 Millionen betroffenen Personen lagen nicht vor. Aus Wirtschaftlichkeitsgründen entschied sich das Unternehmen, diese Personen nicht zu informieren. Vielen der von der Datenverarbeitung betroffenen Personen war die Verarbeitung ihrer Daten durch Bisnode daher nicht bekannt.

Verstoß gegen Art. 14 DSGVO

Die polnische Datenschutzaufsichtsbehörde sah darin einen Verstoß gegen Art. 14 DSGVO. Die Regelung sieht eine Informationspflicht vor, wenn personenbezogene Daten nicht direkt bei der betroffenen Person erhoben wurden, z.B. ohne Wissen und Mitwirkung der betroffenen Personen über öffentliche zugängliche Quellen (Internet, Zentralregister u.Ä.).

Ausnahmen von der Informationspflicht

Die DSGVO sieht für diese Informationspflicht Ausnahmen vor. So kann die Information immer dann unterbleiben, wenn sich die Erteilung der Information als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde. Als Anhaltspunkte für die Annahme einer solchen Ausnahme können etwa die Zahl der betroffenen Personen, das Alter der Daten sowie geeignete Garantien in Betracht gezogen werden.

Aus Sicht der Artikel-29-Datenschutzgruppe muss sich der unverhältnismäßige Aufwand direkt aus der Tatsache ergeben, dass die Daten bei Art. 14 DSGVO – im Gegensatz zu Art. 13 DSGVO – nicht beim Betroffenen selbst erhoben wurden. Als Beispiel für einen solchen unverhältnismäßigen Aufwand nennt die Artikel-29-Datenschutzgruppe Historiker, die eine Datenbank mit Nachnamen von über 20.000 Betroffenen verwenden möchten, wobei die Daten vor 50 Jahren erhoben, seit dem nicht aktualisiert wurden und keinerlei Kontaktinformation enthalten.

Betroffene konnten ihre Rechte nicht ausüben

In seiner Stellungnahme hat sich Bisnode auf den unverhältnismäßigen Aufwand für die Informationserteilung der betroffenen Personen berufen. Bei den Personen, von denen nur die Telefonnummern oder Postanschrift vorhanden waren, sei nur einer Information per Post möglich gewesen wäre. Aus Sicht des Unternehmens wäre dies ein zu hoher, unwirtschaftlicher Aufwand gewesen.

Dem Widersprach die polnische Aufsichtsbehörde. Die DSGVO sehe keine Verpflichtung vor, die Informationen nach Art. 14 DSGVO per Post zu versenden. Eine Informationserteilung könne nur dann unterbleiben, wenn jegliche Kontaktadressen der betroffenen Personen fehlen.

Die UODO betonte darüber hinaus, wie wichtig es sei, die Informationspflichten ordnungsgemäß zu erfüllen, damit die betroffenen Personen ihre Rechte ausüben können. Denn von den 90.000 Personen, die ordnungsgemäß informiert worden sind, legten rund 12.000 Personen Widerspruch gegen die Datenverarbeitung ein. Ein Beleg, wie wichtig die Informationspflicht für die Geltendmachung der Betroffenenrechte ist, so die polnische Aufsichtsbehörde.

Aufsichtsbehörden legen Wert auf Kooperation

Wie auch das erste Bußgeld des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg gegen das soziale Netzwerk Knuddels gezeigt hat (hier unser Bericht), legen die Aufsichtsbehörden besonderen Wert auf Kooperation und die Bereitschaft, fehlerhaftes Verhalten einzusehen. Bei der Höhe der Geldbuße hat die polnische Behörde auch berücksichtigt, dass das Unternehmen weder Abhilfemaßnahmen ergriffen hat, um die Zuwiderhandlung zu beenden, noch eine dahingehende Absicht geäußert hat.

Fazit

Die Informationspflichten nach Art. 13 und 14 DSGVO gegenüber betroffenen Personen gehören zu den „Kardinalspflichten“ eines jeden Unternehmens. Die Betroffenenrechte müssen den von der Datenverarbeitung betroffenen Personen in einer geeigneten Weise bereitgestellt werden.

Verantwortliche sollten sich nicht leichtfertig auf die Ausnahme von der Informationserteilung berufen und von einer Information absehen. Vielmehr sind alle wirtschaftlich sinnvollen Mittel für die Informationserteilung in Erwägung zu ziehen (Telefon, Brief), um die Betroffenen zu informieren. (fl)

Quellen:

CMS Hasche Sigle Blog vom 17.03.2019: Erstes DSGVO-Bußgeld in Polen – fast EUR 220.000

datenschutz notizen vom 01.04.2019: Fast 1 Million Zloty – Polen verhängt erstes Bußgeld nach DSGVO