Focus Medienrecht
Focus Medienrecht

DSGVO-Bußgeld in Polen in Höhe von 200.000 €: Ein Unternehmen – 6 Mio. Datenschutzverstöße

Ein Unternehmen - 6 Millionen Datenschutzverstöße

©Rudie – Fotolia.com

Die polnische Datenschutzbehörde (UODO) hat ein erstes Bußgeld über 200.000 € wegen der Verletzung der nach Art. 14 DSGVO vorgesehenen Informationspflichten bei Verwendung von personenbezogenen Daten aus öffentlich zugänglichen Quellen verhängt.

Laut der Datenschutzbehörde soll die Wirtschaftsauskunftei ihre Pflichten aus der Datenschutzgrundverordnung in ca. 6 Millionen Fällen verletzt haben. 

Daten aus öffentlich zugänglichen Quellen gesammelt

Die Bisnode Polska ist ein polnisches Tochterunternehmen des schwedischen Anbieters für digitale Wirtschaftsinformationen Bisnode AB, welcher (personenbezogene) Daten aus öffentlich zugänglichen Quellen (bspw. aus dem elektronischen Zentralregister) in einer Datenbank sammelt und zu kommerziellen Zwecken verarbeitet. In 2017 betrug der Umsatz der BisnodeGruppe 3,6 Mrd. Schwedische Kronen.

Fehlende Benachrichtigung von ca. 6 Mio. Betroffenen

Das Unternehmen verarbeitete in Polen ca. 6 Mio. Datensätze aus öffentlich zugänglichen Quellen, unter anderem personenbezogene Daten bezüglich der Wirtschaftstätigkeit der betroffenen Personen.

Der Adresshändler informierte jedoch nicht sämtliche 6 Mio. Betroffene, sondern lediglich ca. 680.000 Personen, von denen eine E-Mail-Adresse in der Datenbank vorlag, auf elektronischem Wege. Die restlichen Personen erhielten keine Nachricht, da eine postalische Informationserteilung nach Ansicht von Bisnode einen unverhältnismäßig hohen organisatorischen und finanziellen Aufwand darstellt. Stattdessen veröffentlichte Bisnode eine entsprechende Information auf der eigenen Webseite.

Bisnode stützte sich dabei auf die Ausnahme von der Informationspflicht gem. Art 14 Abs 5 lit. b DSGVO, wonach die Information nicht erteilt werden muss, wenn sich die Erteilung als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde.

Betroffene müssen notfalls postalisch oder telefonisch informiert werden

Aus Sicht der polnischen Datenschutzbehörde genügte die Platzierung der Informationen auf der Webseite nicht den Anforderungen von Art. 14 DSGVO nachzukommen.

Das Unternehmen sei verpflichtet gewesen, auch die anderen knapp 6 Mio. Betroffenen per Briefpost oder telefonisch zu informieren. Die Behörde verwies ferner darauf, dass sie nichts Unmögliches i.S.d. Art. 14 Abs. 5 Buchst. b DSGVO verlange, da sie die Benachrichtigung mittels eingeschriebenen Postbrief gar nicht verlange. Zumal das Unternehmen mit den gesammelten, öffentlich zugänglichen personenbezogenen Daten seit Jahren erhebliche Gewinne macht.

Von einer Informationserteilung kann nach Ansicht der Behörde nur dann abgesehen werden, wenn jegliche Kontaktdaten (weder Adressdaten noch Handynummer oder E-Mail-Adresse) der betroffenen Personen fehlen. Dies sei vorliegend gerade nicht der Fall.

Vorsätzliches Handeln

Die Behörde bemängelte darüber hinaus die Vorsätzlichkeit des Handelns von Bisnode Polska, da sich das Unternehmen der Verpflichtung zur Informationserteilung  sowie der Notwendigkeit bewusst war.

Fehlende Kooperationsbereitschaft

Zudem wird die fehlende Kooperation des Unternehmens mit der Aufsichtsbehörde gerügt, da hier weder Abhilfemaßnahmen ergriffen wurden, um die Verletzungshandlung zu beenden, noch wurde eine entsprechende Absicht geäußert.

Folgen für die Praxis

Das Bußgeld löste viele Kontroversen aus. Ein Teil der Rechtsexperten und Pressestimmen kritisiert den Bußgeldbescheid und nimmt einen unverhältnismäßigen Aufwand an, weil eine große Vielzahl von Personen betroffen ist, die Daten aber nur Unternehmer betreffen und aus allgemein zugänglichen Quellen stammen. Damit sei die Schutzbedürftigkeit der Betroffenen als gering einzustufen.

Es bleibt daher abzuwarten, ob die verhängte Maßnahme Bestand haben wird. Bisnode Polska hat auf ihrer Webseite bereits angekündigt, sich gegen die Maßnahme der Behörde gerichtlich zur Wehr zu setzen. Sollte in einem Gerichtsverfahren eine Vorlage an den EuGH erfolgen, so wird die Entscheidung europaweite Bedeutung haben.

Eine wichtige Botschaft darf man der Maßnahme der UODO bereits jetzt schon dennoch entnehmen: Wie im Fall „Knuddels“  war auch in diesem Fall die Kooperationsbereitschaft massgebend für die Festsetzung der Höhe des Bußgelds. Deshalb ist allen Unternehmen zu raten, bei drohenden Behördenmaßnahmen nicht den Kopf in den Sand zu stecken, sondern durch Transparenz und zielgerichtete Zusammenarbeit der Behörde zu signalisieren, dass man zur Aufklärung und Behebung etwaiger Verstöße bereit und in der Lage ist.

Gefällt Ihnen der Artikel? Bewerten Sie jetzt:
( 5 Bewertungen, Durchschnitt: 4,20 von 5 )

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ihr Kommentar erscheint erst nach einer automatischen Spam-Prüfung anhand Ihrer E-Mail-Adresse sowie einer weiteren manuellen Überprüfung durch unseren Administrator. Bitte beachten Sie unsere Datenschutzerklärung.

* Pflichtfelder

4 Antworten auf „DSGVO-Bußgeld in Polen in Höhe von 200.000 €: Ein Unternehmen – 6 Mio. Datenschutzverstöße“

  1. Address-Base sagt:

    Immerhin wurde “nur” die unterlassene Informationspflicht beanstandet. Für Unternehmen wie uns (URL entfernt) hat dieses Urteil hohe Relevanz.
    Wir arbeiten nach demselben Prinzip wie Bisnode ausschließlich mit veröffentlichten Firmenadressen, die aber ebenfalls dem Schutz der DSGVO unterliegen, wenn es sich nicht um Juristische Personen handelt. Eine postalische Benachrichtigung an vier Millionen Firmenadressen wäre für unser kleines Unternehmen mit weniger als einer halben Million Jahresumsatz tatsächlich wirtschaftlich unmöglich. Entspräche das im Ernstfall einer Unverhältnismäßigkeit?
    Sind die Speicherung an sich und der Verkauf der Daten eigentlich kein Tatbestand?

    1. Vielen Dank für Ihren Kommentar. Grundsätzlich müssen die Vorschriften der DSGVO, soweit Daten von natürlichen Personen betroffen sind, in Bezug auf jeden einzelnen Datensatz, hinter der ja eine schützenswerte Person steckt, beachtet werden. Eine Verhältnismäßigkeit wird dort grundsätzlich nicht geprüft. Wäre dies anders, würde eine Benachrichtigungspflicht fast in jedem Fall ausscheiden, indem dies nicht mittels einer E-Mail möglich wäre. Das Daten verarbeitende Unternehmen muss sich demnach überlegen, ob es die Verarbeitung von Daten, ohne gleichzeitig auch eine Adresse der elektronischen Post des Betroffenen zu haben, überhaupt sinnvoll ist.

      Wir hoffen, Ihnen mit dieser Antwort schon ein wenig geholfen zu haben. Falls Sie Fragen in Bezug auf ein eigenes Rechtsproblem im Einzelfall haben, würden wir Sie gerne bitten, uns per E-Mail zu kontaktieren und ein Mandat zu vereinbaren.

      1. Address-Base sagt:

        Danke für die Information, aber wie kann die Verhältnismäßigkeit nicht geprüft worden sein, wenn diese im Urteil explizit als gegeben angeführt wird? Außerdem beruft sich Bisnode ja auf genau den Artikel 14 Absatz 5 b), in dem es nur um Verhältnismäßigkeit geht.

        1. Vielen Dank für Ihre Nachfrage. Wir haben uns wahrscheinlich missverstanden. Sie haben natürlich Recht, wenn Sie darauf hinweisen, dass Art. 14 Absatz 5 b) eine Ausnahme von der Informationspflicht vorsieht, wenn die Erteilung dieser Informationen einen unverhältnismäßigen Aufwand bedeuten würde. Dabei handelt es sich aber nicht um die von mir gemeinte Verhältnismäßigkeitsprüfung. Die in Art. 14 Absatz 5 b) gemeinte Unverhältnismäßigkeit bezieht sich auf den Aufwand in Bezug auf die Erteilung der Information an eine Person. Keine Rolle spielt dabei, der Umstand, dass der Datenverarbeitende sehr viele Daten erhoben hat, und sich der Aufwand dann in Bezug die Anzahl der zu erteilende Informationen als groß darstellt. Er ist dann nämlich in Bezug auf die im einzelnen zu informierende Person nicht unverhältnismäßig. War das verständlich? Kontaktieren uns bei Fragen im Einzelfall, wie gesagt, gerne per E-Mail oder Telefon. Wir schließen gerne eine adäquate Mandatsvereinbarung mit Ihnen.




Mehr erfahren

Ansprechpartner

LHR-Newsletter

Ähnliche Themen

Beiträge zu dem Thema

Erfahrungen & Bewertungen zu Lampmann, Haberkamm & Rosenbaum Focus Medienrecht Focus Medienrecht

Sie benötigen weitere Informationen oder möchten mehr über unsere Rechtsgebiete erfahren?

Kontaktieren Sie uns