220.000 Euro Bußgeld wegen Verletzung der Informationspflichten nach DSGVO

16.04.2019 - 13:14 Uhr
Themenbereiche: Datenschutzrecht, Newsletter
220.000 Euro Bußgeld wegen Verletzung der Informationspflichten nach DSGVO

Ein Unternehmen hatte aus Kostengründen von der Information zahlreicher betroffener Personen abgesehen. Die polnische Datenschutzaufsichtsbehörde (UODO) sah Art. 14 DSGVO verletzt und verhängte ein stattliches Bußgeld von 943 000 PLN (entspr. 220.138,64 €, Tageskurs vom 10.04.2019). Nachfolgend erfahren Sie warum die Entscheidung zu hinterfragen und trotzdem beachtlich ist.

Informationspflicht aus Art. 14 DSGVO

Art. 13 und 14 DSGVO regeln die Informationspflichten des Verantwortlichen gegenüber der betroffenen Person, wenn es zur Erhebung personenbezogener Daten kommt. Dabei ist es unerheblich, ob die Erhebung unmittelbar bei der betroffenen Person oder auf sonstige Weise (durch Dritte) geschieht. In jedem Fall ist die betroffene Person zu informieren. Im Falle nur mittelbarer Erhebung richtet sich dies nach Art. 14 DSGVO. Der Verantwortliche muss der betroffenen Person dann unter anderem das Folgende mitteilen:

  • seinen Namen und seine Kontaktdaten;

  • die Zwecke der Verarbeitung;

  • die Rechtsgrundlage der Verarbeitung;

  • die Kategorien personenbezogener Daten, welche verarbeitet werden.

Die Information muss der betroffenen Person dabei im Falle der Verarbeitung zum Zwecke der Kommunikation mit der betroffenen Person letztens mit der ersten Mitteilung an sie, im Falle der Offenlegung an einen anderen Empfänger letztens zum Zeitpunkt der ersten Offenlegung oder in anderen Fällen spätestens innerhalb eines Monats nach Erlangung der personenbezogenen Daten zugehen.

Verletzung der Informationspflicht

Bußgeldadressat war hier ein Unternehmen, welches (personenbezogene) Daten aus öffentlichen Quellen wie dem elektronischen Zentralregister in einer Datenbank sammelt und zu kommerziellen Zwecken verarbeitet. Gegenüber einigen der von der Verarbeitung betroffenen Personen erfüllte das Unternehmen die vorgenannte Informationspflicht, indem es per E-Mail die entsprechenden Erklärungen übermittelte.

Da dem Unternehmen aber von einer Vielzahl der insgesamt etwa 6 Millionen betroffenen Personen jedoch keine E-Mail-Adressen vorlagen, hätte es diese postalisch unterrichten müssen.

Aus Kostengründen verzichtete das Unternehmen allerdings hierauf.

Die UODO erkannte hierin einen Verstoß gegen Art. 14 DSGVO.

Gegen den vorgeworfenen Verstoß führte das Unternehmen die Ausnahmeregelung des Art. 14 Abs. 5 lit. b Halbs. 1 DSGVO ins Feld. Hiernach ist die Information der betroffenen Person(en) ausnahmsweise entbehrlich, wenn sich deren Erteilung als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde. Die UODO verwies jedoch auf ihre Ansicht, dass eine Informationserteilung an die betroffenen Personen nur dann unterbleiben darf, wenn jegliche Kontaktadressen der betroffenen Personen fehlen. Dies sei vorliegend gerade nicht der Fall und eine Information möglich gewesen. Sie rügte zudem die Vorsätzlichkeit der Verletzungshandlung sowie eine unzureichende Kooperation des Bußgeldadressaten mit der Behörde. Das Unternehmen hat rechtliche Schritte gegen den Bußgeldbescheid in Aussicht gestellt.

Folgen für die Praxis

Die Begründung der UODO, eine Information sei möglich gewesen, ist nicht gänzlich überzeugend. Art. 14 Abs. 5 lit. b Halbs. 1 DSGVO spricht nicht nur von der Unmöglichkeit, sondern auch von der Unverhältnismäßigkeit. Die Literatur nimmt an, dass ein unverhältnismäßiger Aufwand besteht, wenn eine große Vielzahl von Personen betroffen ist, jeder von ihnen durch die Verarbeitung aber nur eine geringfügige Beeinträchtigung droht. Dies soll zum Beispiel der Fall sein, wenn – wie vorliegend – der Verantwortliche die Daten aus allgemein zugänglichen Quellen entnimmt. Dass die Anzahl der Personen in diesem Zusammenhang zu beachten ist, ergibt sich zudem schon aus Erwägungsgrund 62 Satz 3 zur DSGVO. Es bleibt daher abzuwarten, ob die Entscheidung der UODO Bestand haben wird.

Eine Botschaft darf man dem Bußgeldbescheid der polnischen Datenschutzbehörde jedoch entnehmen – wie schon im Fall „Knuddels“ (wir berichteten hier) war auch in diesem Fall die Kooperationsbereitschaft des Unternehmens ein ausschlaggebender Faktor bei der Festsetzung der konkreten Bußgeldhöhe. Es zeigt sich, dass die zielgerichtete Zusammenarbeit mit den Behörden bei Aufklärung und Behebung etwaiger Verstöße drohende Bußgelder erheblich abmildern kann.

Diese Webseite verwendet Cookies und zur fortlaufenden Verbesserung unserer Webseite setzen wir Google Analytics ein. Sie können die Cookie-Einstellung jederzeit für die Zukunft ändern und eine erteilte Einwilligung widerrufen. Weitere Informationen erhalten Sie in der Datenschutzerklärung.