{"id":45257,"date":"2019-05-08T15:29:11","date_gmt":"2019-05-08T14:29:11","guid":{"rendered":"https:\/\/www.lhr-law.de\/?p=45257"},"modified":"2019-05-08T15:29:11","modified_gmt":"2019-05-08T14:29:11","slug":"dsgvo-bussgeld-in-polen-ein-unternehmen-6-mio-datenschutzverstoesse","status":"publish","type":"post","link":"https:\/\/www.lhr-law.de\/en\/magazin\/datenschutzrecht\/dsgvo-bussgeld-in-polen-ein-unternehmen-6-mio-datenschutzverstoesse\/","title":{"rendered":"DSGVO-Bu\u00dfgeld in Polen in H\u00f6he von 200.000 \u20ac: Ein Unternehmen – 6 Mio. Datenschutzverst\u00f6\u00dfe"},"content":{"rendered":"
\"Ein
\u00a9Rudie – Fotolia.com<\/figcaption><\/figure>\n

Die polnische Datenschutzbeh\u00f6rde (UODO) hat ein erstes Bu\u00dfgeld \u00fcber 200.000 \u20ac wegen der Verletzung der nach Art. 14 DSGVO<\/a> vorgesehenen Informationspflichten bei Verwendung von personenbezogenen Daten aus \u00f6ffentlich zug\u00e4nglichen Quellen verh\u00e4ngt.<\/em><\/p>\n

Laut der Datenschutzbeh\u00f6rde soll die Wirtschaftsauskunftei ihre Pflichten aus der Datenschutzgrundverordnung in ca. 6 Millionen F\u00e4llen verletzt haben.\u00a0<\/em><\/p>\n

Daten aus \u00f6ffentlich zug\u00e4nglichen Quellen gesammelt<\/h2>\n

Die\u00a0Bisnode Polska<\/em>\u00a0ist ein polnisches Tochterunternehmen des\u00a0schwedischen Anbieters f\u00fcr digitale Wirtschaftsinformationen\u00a0Bisnode AB,<\/em>\u00a0welcher (personenbezogene) Daten aus \u00f6ffentlich zug\u00e4nglichen Quellen (bspw. aus dem elektronischen Zentralregister) in einer Datenbank sammelt und zu kommerziellen Zwecken verarbeitet.\u00a0In 2017 betrug der\u00a0Umsatz\u00a0der\u00a0BisnodeGruppe\u00a03,6 Mrd.\u00a0Schwedische Kronen.<\/p>\n

Fehlende Benachrichtigung von ca. 6 Mio. Betroffenen<\/strong><\/h2>\n

Das Unternehmen verarbeitete in Polen ca. 6 Mio. Datens\u00e4tze aus \u00f6ffentlich zug\u00e4nglichen Quellen, unter anderem personenbezogene Daten bez\u00fcglich der Wirtschaftst\u00e4tigkeit der betroffenen Personen.<\/p>\n

Der Adressh\u00e4ndler informierte jedoch nicht s\u00e4mtliche 6 Mio. Betroffene, sondern lediglich ca. 680.000 Personen, von denen eine E-Mail-Adresse in der Datenbank vorlag, auf elektronischem Wege. Die restlichen Personen erhielten keine Nachricht, da eine postalische Informationserteilung nach Ansicht von Bisnode einen unverh\u00e4ltnism\u00e4\u00dfig hohen organisatorischen und finanziellen Aufwand darstellt. Stattdessen ver\u00f6ffentlichte Bisnode eine entsprechende Information auf der eigenen Webseite.<\/p>\n

Bisnode st\u00fctzte sich dabei auf die\u00a0Ausnahme von der Informationspflicht\u00a0gem.\u00a0Art 14 Abs 5 lit. b DSGVO<\/a>,\u00a0wonach die Information nicht erteilt werden muss, wenn sich die Erteilung als unm\u00f6glich erweist oder einen unverh\u00e4ltnism\u00e4\u00dfigen Aufwand erfordern w\u00fcrde.<\/p>\n

Betroffene m\u00fcssen notfalls postalisch oder telefonisch informiert werden<\/h2>\n

Aus Sicht der polnischen Datenschutzbeh\u00f6rde<\/a> gen\u00fcgte die Platzierung der Informationen auf der Webseite nicht den Anforderungen von Art. 14 DSGVO<\/a> nachzukommen.<\/p>\n

Das Unternehmen sei verpflichtet gewesen, auch die anderen knapp 6 Mio. Betroffenen per Briefpost oder telefonisch\u00a0<\/span>zu informieren. Die Beh\u00f6rde verwies\u00a0ferner darauf, dass sie nichts Unm\u00f6gliches i.S.d. Art. 14 Abs. 5 Buchst. b DSGVO<\/a> verlange, da sie die Benachrichtigung mittels eingeschriebenen Postbrief gar nicht verlange. Zumal das Unternehmen mit den gesammelten, \u00f6ffentlich zug\u00e4nglichen personenbezogenen Daten seit Jahren erhebliche Gewinne macht.<\/span><\/p>\n

Von einer Informationserteilung kann nach Ansicht der Beh\u00f6rde nur dann abgesehen werden, wenn jegliche Kontaktdaten (weder Adressdaten noch Handynummer oder E-Mail-Adresse) der betroffenen Personen fehlen. Dies sei vorliegend gerade nicht der Fall.<\/p>\n

Vors\u00e4tzliches Handeln<\/h2>\n

Die Beh\u00f6rde bem\u00e4ngelte dar\u00fcber hinaus die Vors\u00e4tzlichkeit des Handelns von Bisnode Polska<\/em>, da sich das Unternehmen der Verpflichtung zur Informationserteilung \u00a0sowie der Notwendigkeit bewusst war.<\/p>\n

Fehlende Kooperationsbereitschaft<\/h2>\n

Zudem wird die fehlende Kooperation des Unternehmens mit der Aufsichtsbeh\u00f6rde ger\u00fcgt, da hier weder Abhilfema\u00dfnahmen ergriffen wurden, um die Verletzungshandlung zu beenden, noch wurde eine entsprechende Absicht ge\u00e4u\u00dfert.<\/p>\n

Folgen f\u00fcr die Praxis<\/h2>\n

Das Bu\u00dfgeld l\u00f6ste viele Kontroversen aus.\u00a0Ein Teil der Rechtsexperten und Pressestimmen kritisiert den Bu\u00dfgeldbescheid und\u00a0nimmt einen unverh\u00e4ltnism\u00e4\u00dfigen Aufwand an, weil eine gro\u00dfe Vielzahl von Personen betroffen ist, die Daten aber nur Unternehmer betreffen und aus allgemein zug\u00e4nglichen Quellen stammen. Damit sei die Schutzbed\u00fcrftigkeit der Betroffenen als gering einzustufen.<\/p>\n

Es bleibt daher abzuwarten, ob die verh\u00e4ngte Ma\u00dfnahme\u00a0Bestand haben wird. Bisnode Polska\u00a0<\/em>hat auf ihrer Webseite bereits\u00a0angek\u00fcndigt, sich gegen die Ma\u00dfnahme der Beh\u00f6rde gerichtlich zur Wehr zu setzen. Sollte in einem Gerichtsverfahren eine Vorlage an den EuGH erfolgen, so wird die Entscheidung europaweite Bedeutung haben.<\/p>\n

Eine wichtige Botschaft darf man der Ma\u00dfnahme der UODO bereits jetzt schon dennoch entnehmen: Wie im Fall \u201eKnuddels\u201c<\/a> \u00a0war auch in diesem Fall die Kooperationsbereitschaft massgebend f\u00fcr die Festsetzung der H\u00f6he des Bu\u00dfgelds.\u00a0Deshalb ist allen Unternehmen zu raten, bei drohenden Beh\u00f6rdenma\u00dfnahmen nicht den Kopf in den Sand zu stecken, sondern durch Transparenz und zielgerichtete Zusammenarbeit der Beh\u00f6rde zu signalisieren, dass man zur Aufkl\u00e4rung und Behebung etwaiger Verst\u00f6\u00dfe bereit und in der Lage ist.<\/p>\n","protected":false},"excerpt":{"rendered":"

Die polnische Datenschutzbeh\u00f6rde (UODO) hat ein erstes Bu\u00dfgeld \u00fcber 200.000 \u20ac wegen der Verletzung der nach Art. 14 DSGVO vorgesehenen Informationspflichten bei Verwendung von personenbezogenen Daten aus \u00f6ffentlich zug\u00e4nglichen Quellen verh\u00e4ngt. Laut der Datenschutzbeh\u00f6rde soll die Wirtschaftsauskunftei ihre Pflichten aus der Datenschutzgrundverordnung in ca. 6 Millionen F\u00e4llen verletzt haben.\u00a0 Daten aus \u00f6ffentlich zug\u00e4nglichen Quellen gesammelt […]<\/p>\n","protected":false},"author":2,"featured_media":45263,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"content-type":"","footnotes":""},"categories":[8],"tags":[17851,17852,17853],"class_list":["post-45257","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutzrecht","tag-datenschutzbehoerde","tag-unverhaeltnismaessiger-aufwand","tag-art-14-dsgvo"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts\/45257","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/comments?post=45257"}],"version-history":[{"count":0,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts\/45257\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/media\/45263"}],"wp:attachment":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/media?parent=45257"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/categories?post=45257"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/tags?post=45257"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}