Informationspflicht: Aufsichtsbehörde in Polen verhängt Bußgeld

News

Die polnische Aufsichtsbehörde hat ein erstes Bußgeld gegen ein Unternehmen, was für kommerzielle Zwecke personenbezogene Daten verarbeitete, in Höhe von 219.500 € verhängt. Grund ist der Verstoß gegen die Informationspflichten nach Art. 14 DSGVO. Das verhängte Bußgeld bietet nun die Grundlage für eine breite Diskussion, wann die Informationspflicht sich als unverhältnismäßig aufwändig für den Verantwortlichen herausstellt.

Hintergrund

Das Unternehmen hat seine Informationspflicht nur gegenüber den Personen ausgeübt, von denen sie die E-Mail-Adresse hatten und informierten daher nur einen Bruchteil der Betroffenen. Bei den restlichen Personen waren nur Telefonnummern oder Postanschrift vorhanden und hatten dementsprechend nur die Gelegenheit von der Informationsklausel auf der Unternehmens Website Kenntnis zu nehmen.

Das Unternehmen habe die Informationspflicht gegenüber 6 Millionen Menschen – aufgrund hoher Betriebskosten – nicht erfüllt. Zudem haben sich mehr als 12.000 von den rund ca. 90.000 Personen, die über die Verarbeitung durch das Unternehmen informiert wurden, gegen die Verarbeitung ihrer Daten ausgesprochen. Das zeigt, wie wichtig die Informationspflicht für die Geltendmachung der Betroffenenrechte ist, so die polnische Aufsichtsbehörde.

Die Aufsichtsbehörde sah in diesem Fall sogar eine vorsätzliche Verletzung für die Datenverarbeitung, da sich das Unternehmen der Verpflichtung zur Bereitstellung relevanter Informationen sowie der Notwendigkeit durchaus bewusst war.

Außerdem wird die unzureichende Kooperation des Unternehmens mit der Aufsichtsbehörde bemängelt, da hier weder Abhilfemaßnahmen ergriffen wurden, um die Zuwiderhandlung zu beenden, noch wurde eine dahingehende Absicht geäußert.

Ausnahmen von der Informationspflicht

Art. 14 Abs. 5 lit. b DSGVO sieht eine Ausnahme der Informationspflicht für solche Fälle vor, in denen sich die Erteilung der Information als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde. Nach Erwägungsgrund 62 sollten für die Ausnahmeregelung Anhaltspunkte wie etwa die Zahl der betroffenen Personen, das Alter der Daten sowie geeignete Garantien in Betracht gezogen werden.

Laut der Art. 29 Datenschutzgruppe ist der Verantwortliche in jedem Fall dazu gehalten, eine Abwägung zwischen seinem durch die Information entstandenen Aufwand und den Informationsinteressen der betroffenen Person vorzunehmen und deren Ergebnis zu dokumentieren. Selbst bei einem Entfall der Informationspflicht, hat der Verantwortliche dennoch geeignete Maßnahmen zu ergreifen, um die Rechte und Freiheiten und Interessen der betroffenen Person zu schützen.

Das Unternehmen beruft sich in seiner Stellungnahme auf einen unverhältnismäßigen Aufwand gem. Art. 14 Abs. 5 lit. b DSGVO, da die Informationserteilung bei den Personen wo die Telefonnummern oder Postanschrift vorhanden war, nur per Post möglich gewesen wäre.

Das Unternehmen äußert sich hierzu wie folgt:

„Wir stellen die Auslegung der DPA in Frage, was als verhältnismäßige Anstrengung angesehen wird. In den Fällen, in denen wir E-Mail-Adressen hatten (679 000 Adressen), haben wir dort Informationen nach Artikel 14 per E-Mail versandt, aber zusätzlich zu verlangen, dass 5,7 Millionen Datensätze von Einzelunternehmern und Mitgliedern von Gesellschaftsorganen von Unternehmen usw. per Post oder Telefon informiert werden, kann nicht als verhältnismäßiger Aufwand angesehen werden.“

Die Meinungen gehen auseinander

Erste Pressestimmen in Polen fragen sich, ob das ein sinnvolles erstes Bußgeld ist, da sich das Unternehmen zumindest mit der DSGVO auseinandergesetzt habe und das Unterlassen der Information nichts über die Sicherheit und den Umgang mit den Daten aussage. Zudem gäbe es im Direktmarketing andere viel größere Datenschutzprobleme und Sünder.

Die progressive Partei Wiosna forderte den Premierminister auf, Sanktionen für Verstöße gegen die DSGVO für ein Jahr auszusetzen und sich stattdessen auf eine Informationskampagne zur korrekten Anwendung der neuen Bestimmungen zu konzentrieren.

Auf der anderen Seite steht die Aufsichtsbehörde, welche der Meinung ist, die Informationserteilung per Post sei keine unmögliche Tätigkeit oder ein unverhältnismäßiger Aufwand. Zumal das Unternehmen mit den gesammelten, öffentlichen personenbezogenen Jahren seit Jahren Gewinne macht.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

2 Kommentare zu diesem Beitrag

  1. Die Firma hat die Daten aus dem öffentlichen Handelsregister erhoben. In Polen sind die Handelsregister von Gesellschaften und Einzelunternehmen kostenlos online verfügbar. Die Unternehmen können (müssen aber nicht) dort auch ihre E-Mail Adresse angeben.

  2. @Achim Hubert: 6 Mio. Einträge aus dem Handelsregister und 12.000 Widerrufe, die ignoriert wurden? Das ist nicht glaubhaft, dass alle Daten rechtskonform in öffentlich zugänglichen Quellen erhoben wurden.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.