Fast eine Million Zloty oder umgerechnet rund 219.500 € – in dieser Höhe fällt das erste Bußgeld in Polen wegen eines Verstoßes gegen die neue EU-DSGVO aus. Der Grund: Verstoß gegen die Informationspflichten nach Art. 14 DSGVO[1]. Das betroffene Unternehmen verarbeitete personenbezogene Daten, informierte jedoch nur die 90 Tausend Personen darüber, von denen die E-Mail-Adressen vorhanden waren. 12 Tausend Kunden widersprachen. Interessenten, dessen Email-Adresse nicht vorhanden war, wurden nicht in Kenntnis gesetzt. Sie hätten allein durch einen Blick auf die Website davon erfahren können, doch dies reicht bezüglich der Informationspflicht nicht aus, da die Betroffenen keine Kenntnis darüber haben, dass das Unternehmen ihre Daten verarbeite und somit vermutlich auch nicht auf die Website schauen.
Zu hoher Aufwand und zu hohe Kosten
Da das Unternehmen aufgrund gescheuter Kosten keine Anrufe tätigte oder per Post informierte, blieben insgesamt 6 Millionen Kunden unerreicht. Die Kosten für Einschreiben in der Menge hätten fast 8 Millionen Euro gekostet, fast 97% des Jahresumsatzes. Die Daten stammten aus öffentlichen Datenregistern, unter anderem aus dem elektronischen Zentralregister oder dem amtlichen Staatsregister[2], und wurden ohne Wissen der Beteiligten von dem Unternehmen verarbeitet. „Die Aufsichtsbehörde sah in diesem Fall sogar eine vorsätzliche Verletzung für die Datenverarbeitung, da sich das Unternehmen der Verpflichtung zur Bereitstellung relevanter Informationen sowie der Notwendigkeit durchaus bewusst war.“[3]
Ausnahmen zur Informationspflicht
Das Unternehmen wiederum beruft sich auf Art. 14 Abs. 5 lit. b DSGVO, der besagt, dass Ausnahmen zur Informationspflicht gemacht werden können, beispielsweise aufgrund von Unmöglichkeit oder unverhältnismäßigem Aufwand aufgrund der Anzahl. Dennoch hätte das Unternehmen erforderliche Abwägungen treffen und notieren müssen. Auch falle kein „unverhältnismäßiger Aufwand“ bezüglich der Informationspflicht an, da dem Unternehmen die Daten durch die Register vorlagen und nicht erst ermittelt werden mussten. Da dem Unternehmen seine Informationspflicht bewusst war und ihr explizit nicht nachgekommen wurde, wurde das Bußgeld verhängt.
[1]https://www.datenschutzbeauftragter-info.de/informationspflicht-aufsichtsbehoerde-in-polen-verhaengt-dsgvo-bussgeld/
[2]https://www.spiritlegal.com/de/aktuelles/details/fast-eine-million-zloty-bussgeld-wegen-verletzung-von-informationspflichten-auf-grundlage-der-dsgvo-in-polen.html
[3]https://www.datenschutzbeauftragter-info.de/informationspflicht-aufsichtsbehoerde-in-polen-verhaengt-dsgvo-bussgeld/