Die polnische Datenschutzaufsicht hat wegen Verletzung von Informationspflichten der DSGVO ein aufsehenerregendes Bußgeld in Höhe von EUR 219.500 verhängt.
Die polnische Datenschutzaufsichtsbehörde (UODO) hat kürzlich die erste Geldbuße in Höhe von PLN 943 000 (EUR 219.538) wegen Nichterfüllung von Informationspflichten aus Art. 14 DSGVO verhängt. Das Bußgeld richtete sich gegen ein Unternehmen, das für kommerzielle Zwecke personenbezogene Daten verarbeitete, die aus öffentlich zugänglichen Quellen stammten (u.a. aus dem elektronischen Zentralregister) und solche, die die Wirtschaftstätigkeit betroffener Personen betrafen. Das Unternehmen reicherte mit diesen Informationen eine eigene Datenbank an und informierte einen Bruchteil der aufgeführten Personen per E-Mail über die Verarbeitung ihrer Daten. Da jedoch die E-Mail-Adressen der weit überwiegenden Mehrzahl der betroffenen Personen nicht vorlag, wurden diese aus Wirtschaftlichkeitserwägungen nicht informiert. In der Folge war vielen betroffenen Personen die Verarbeitung ihrer Daten durch das Unternehmen nicht bekannt.
Darin sah die polnische Datenschutzaufsichtsbehörde einen Verstoß gegen Art. 14 DSGVO und bezog sowohl die mangelnde Kooperationsbereitschaft des Unternehmens als auch die nicht vorhandene Bereitschaft zur Veränderung der beschriebenen Praxis zwecks Erfüllung von Informationspflichten in die Abwägung bei Bemessung der Bußgeldhöhe mit ein. Die Entscheidung der Behörde wurde von deren Präsidentin Dr. Edyta Bielak-Jomaa wie folgt kommentiert:
Der Verantwortliche war sich seiner Informationspflicht bewusst. Daher die Entscheidung, gegen dieses Unternehmen eine Geldstrafe in dieser Höhe zu verhängen.
Informationspflichten nach Art. 14 DSGVO verletzt
Die Informationspflichten der DSGVO greifen immer dann, wenn ein Verantwortlicher personenbezogene Daten verarbeitet. Art. 13 DSGVO greift bei Direkterhebung bei der betroffenen Person und Art. 14 DSGVO bei Erhebung der Daten bei Dritten. Nur in gesetzlich geregelten wenigen Fällen, können Ausnahmen von diesen Pflichten vorliegen.
Nach Angaben der polnischen Datenschutzaufsicht enthielt die Datenbank des Unternehmens Informationen über sechs Millionen Menschen. E-Mail-Adressen lagen jedoch lediglich von 90.000 Personen vor. Bei den übrigen in dem Datenbestand des Unternehmens Aufgeführten waren eine Telefonnummer und/oder eine Postanschrift vorhanden. Eine Information nach Art. 14 DSGVO erfolgte nur bei denjenigen, deren E‑Mail-Adresse vorhanden war. Von den derart Informierten hatten laut Angaben der polnischen Behörde 12.000 Personen Widerspruch gegen die Datenverarbeitung eingelegt. Nach Auffassung der Behörde belege dies, wie wichtig es sei, die Informationspflichten ordnungsgemäß zu erfüllen, damit die betroffenen Personen ihre Rechte ausüben könnten.
Alle übrigen betroffenen Personen wurden überhaupt nicht aktiv über die Datenverarbeitung in Kenntnis gesetzt. Der Bußgeldadressat verteidigt in einer Stellungnahme zum Bußgeld sein Vorgehen damit, dass er auf seiner Webseite die Informationen für jeden einsehbar vorgehalten habe. Die polnische Behörde moniert in dem Zusammenhang hingegen, dass mangels Kenntnis im Datenbestand des Bußgeldadressaten aufgeführt zu sein, die große Mehrzahl der betroffenen Personen keine Möglichkeit gehabt habe, der Weiterverarbeitung ihrer Daten zu widersprechen sowie deren Berichtigung oder Löschung zu verlangen. Darin sieht die Behörde einen schwerwiegenden Verstoß von Datenschutzrechten der betroffenen Personen. Der Bußgeldadressat prüft nach eigenen Angaben hingegen weitere Schritte und wird möglicherweise eine gerichtliche Überprüfung des Bußgeldbescheids einleiten.
Keine Ausnahme von der Informationspflicht nach Art. 14 Abs. 5 lit. b) DSGVO
Der Bußgeldadressat berief sich auf einen unverhältnismäßigen Aufwand (im konkreten Fall zu hohe Kosten), der angeblich in der aktiven Informationserteilung per Post läge. Namentlich ist der Mitteilung der polnischen Aufsichtsbehörde zu entnehmen, dass der Bußgeldadressat als Alternative zur Information per E‑Mail eine solche mittels Briefsendung per Einschreiben erwogen hatte. Nach Ansicht der UODO sehe die DSGVO allerdings keine Verpflichtung vor, die Informationen nach Art. 14 DSGVO per Einschreiben zu versenden. Vielmehr könne eine Informationserteilung nur dann unterbleiben, wenn jegliche Kontaktadressen der betroffenen Personen fehlten. Dies aber unterscheide den vorliegend betrachteten Fall von anderen Ermittlungen der Behörde. Obgleich der Entscheidung im Ergebnis zuzustimmen ist, überrascht jedoch ihre Begründung.
Tatsächlich sieht Art. 14 Abs. 5 lit. b) DSGVO eine Ausnahme von den Informationspflichten für den Fall vor, dass sich die Erteilung der Informationen als unmöglich erweist odereinen unverhältnismäßigen Aufwand erfordern würde. Entgegen der Ansicht der Aufsichtsbehörde ist es also nicht generell erforderlich, dass jegliche Kontaktadressen einer betroffenen Person fehlen. Laut Erwägungspunkt 62 DSGVO soll u.a. die Zahl der betroffenen Personen zudem einen Anhaltspunkt für die Unverhältnismäßigkeit des Aufwands liefern.
Die Artikel 29 Datenschutzgruppe fordert dagegen eine sehr enge Auslegung und verlangt sogar, dass der Aufwand in der Tatsache begründet sein muss, dass die Daten nicht bei der betroffenen Person erhoben wurden (s. WP 260 rev.01, 30). Es bleibt abzuwarten, ob sich die mitgliedstaatlichen Gerichte und der EuGH dieser sehr restriktiven Ansicht anschließen. Bis dahin ist Verantwortlichen nicht zu empfehlen, sich leichtfertig auf die Ausnahme zu berufen und von einer Information abzusehen, sondern vielmehr alle wirtschaftlich sinnvollen Mittel für die Informationserteilung in Erwägung zu ziehen (etwa ein einfacher Brief).
Datenschutzaufsichtsbehörde bemängelt unzureichende Kooperation
Die Präsidentin der polnischen Datenschutzaufsichtsbehörde stellte darüber hinaus fest, dass die Verletzung des für die Datenverarbeitung Verantwortlichen vorsätzlich war, da sich das Unternehmen – wie während des Verfahrens festgestellt – der Verpflichtung zur Bereitstellung relevanter Informationen sowie der Notwendigkeit der direkten Information betroffener Personen bewusst war. Bei der Bemessung der Höhe der Geldbuße hat die Behörde auch berücksichtigt, dass der Verantwortliche weder Abhilfemaßnahmen ergriffen hat, um die Zuwiderhandlung zu beenden, noch eine dahingehende Absicht geäußert hat.
Wie auch das erste Bußgeld des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg gegen das soziale Netzwerk Knuddels gezeigt hat, legen die Aufsichtsbehörden Wert auf Kooperation und Einsichtsbereitschaft seitens der Verantwortlichen, die negativ aufgefallen sind.
Praxishinweis: Ausnahmen von Informationspflichten prüfen
Will sich ein Verantwortlicher auf die Ausnahme von Art. 14 Abs. 5 lit. b) DSGVO berufen, sollte er das Ergebnis der genannten Abwägung dokumentieren (so auch die Artikel 29 Datenschutzgruppe in WP 260 rev.01, 31).
Zudem muss der Verantwortliche gemäß der Vorschrift geeignete Maßnahmen zum Schutz der Rechte und Freiheiten sowie der berechtigten Interessen der betroffenen Person ergreifen, einschließlich der Bereitstellung der Informationen für die Öffentlichkeit (etwa über seine Website oder eine Zeitungsanzeige).
Für weitere Informationen stellt CMS unter enforcementtracker.com eine Übersicht der unter der DSGVO ergangenen Bußgelder zur Verfügung.