Multiple awards.

Focus Markenrecht
de

DSGVO-Bußgeld in Polen in Höhe von 200.000 €: Ein Unternehmen – 6 Mio. Datenschutzverstöße

Your contact person
Ein Unternehmen - 6 Millionen Datenschutzverstöße
©Rudie – Fotolia.com

Die polnische Datenschutzbehörde (UODO) hat ein erstes Bußgeld über 200.000 € wegen der Verletzung der nach Art. 14 DSGVO vorgesehenen Informationspflichten bei Verwendung von personenbezogenen Daten aus öffentlich zugänglichen Quellen verhängt.

Laut der Datenschutzbehörde soll die Wirtschaftsauskunftei ihre Pflichten aus der Datenschutzgrundverordnung in ca. 6 Millionen Fällen verletzt haben. 

Daten aus öffentlich zugänglichen Quellen gesammelt

Die Bisnode Polska ist ein polnisches Tochterunternehmen des schwedischen Anbieters für digitale Wirtschaftsinformationen Bisnode AB, welcher (personenbezogene) Daten aus öffentlich zugänglichen Quellen (bspw. aus dem elektronischen Zentralregister) in einer Datenbank sammelt und zu kommerziellen Zwecken verarbeitet. In 2017 betrug der Umsatz der BisnodeGruppe 3,6 Mrd. Schwedische Kronen.

Fehlende Benachrichtigung von ca. 6 Mio. Betroffenen

Das Unternehmen verarbeitete in Polen ca. 6 Mio. Datensätze aus öffentlich zugänglichen Quellen, unter anderem personenbezogene Daten bezüglich der Wirtschaftstätigkeit der betroffenen Personen.

Der Adresshändler informierte jedoch nicht sämtliche 6 Mio. Betroffene, sondern lediglich ca. 680.000 Personen, von denen eine E-Mail-Adresse in der Datenbank vorlag, auf elektronischem Wege. Die restlichen Personen erhielten keine Nachricht, da eine postalische Informationserteilung nach Ansicht von Bisnode einen unverhältnismäßig hohen organisatorischen und finanziellen Aufwand darstellt. Stattdessen veröffentlichte Bisnode eine entsprechende Information auf der eigenen Webseite.

Bisnode stützte sich dabei auf die Ausnahme von der Informationspflicht gem. Art 14 Abs 5 lit. b DSGVO, wonach die Information nicht erteilt werden muss, wenn sich die Erteilung als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde.

Betroffene müssen notfalls postalisch oder telefonisch informiert werden

Aus Sicht der polnischen Datenschutzbehörde genügte die Platzierung der Informationen auf der Webseite nicht den Anforderungen von Art. 14 DSGVO nachzukommen.

Das Unternehmen sei verpflichtet gewesen, auch die anderen knapp 6 Mio. Betroffenen per Briefpost oder telefonisch zu informieren. Die Behörde verwies ferner darauf, dass sie nichts Unmögliches i.S.d. Art. 14 Abs. 5 Buchst. b DSGVO verlange, da sie die Benachrichtigung mittels eingeschriebenen Postbrief gar nicht verlange. Zumal das Unternehmen mit den gesammelten, öffentlich zugänglichen personenbezogenen Daten seit Jahren erhebliche Gewinne macht.

Von einer Informationserteilung kann nach Ansicht der Behörde nur dann abgesehen werden, wenn jegliche Kontaktdaten (weder Adressdaten noch Handynummer oder E-Mail-Adresse) der betroffenen Personen fehlen. Dies sei vorliegend gerade nicht der Fall.

Vorsätzliches Handeln

Die Behörde bemängelte darüber hinaus die Vorsätzlichkeit des Handelns von Bisnode Polska, da sich das Unternehmen der Verpflichtung zur Informationserteilung  sowie der Notwendigkeit bewusst war.

Fehlende Kooperationsbereitschaft

Zudem wird die fehlende Kooperation des Unternehmens mit der Aufsichtsbehörde gerügt, da hier weder Abhilfemaßnahmen ergriffen wurden, um die Verletzungshandlung zu beenden, noch wurde eine entsprechende Absicht geäußert.

Folgen für die Praxis

Das Bußgeld löste viele Kontroversen aus. Ein Teil der Rechtsexperten und Pressestimmen kritisiert den Bußgeldbescheid und nimmt einen unverhältnismäßigen Aufwand an, weil eine große Vielzahl von Personen betroffen ist, die Daten aber nur Unternehmer betreffen und aus allgemein zugänglichen Quellen stammen. Damit sei die Schutzbedürftigkeit der Betroffenen als gering einzustufen.

Es bleibt daher abzuwarten, ob die verhängte Maßnahme Bestand haben wird. Bisnode Polska hat auf ihrer Webseite bereits angekündigt, sich gegen die Maßnahme der Behörde gerichtlich zur Wehr zu setzen. Sollte in einem Gerichtsverfahren eine Vorlage an den EuGH erfolgen, so wird die Entscheidung europaweite Bedeutung haben.

Eine wichtige Botschaft darf man der Maßnahme der UODO bereits jetzt schon dennoch entnehmen: Wie im Fall „Knuddels“  war auch in diesem Fall die Kooperationsbereitschaft massgebend für die Festsetzung der Höhe des Bußgelds. Deshalb ist allen Unternehmen zu raten, bei drohenden Behördenmaßnahmen nicht den Kopf in den Sand zu stecken, sondern durch Transparenz und zielgerichtete Zusammenarbeit der Behörde zu signalisieren, dass man zur Aufklärung und Behebung etwaiger Verstöße bereit und in der Lage ist.

Practical handbook for enforcing claims in competition law

2nd, completely revised and updated edition

Arranged chronologically, differentiated structure, numerous cross-references and, brand new: Extensive practical information on every process situation.

Learn more

Praxishandbuch Anspruchsdurchsetzung im Wettbewerbsrecht