Das erste nach der Datenschutzgrundverordnung (DSGVO) in Polen verhängte Bußgeld in Höhe von ca. EUR 220.000 trifft die polnische Tochtergesellschaft der EU-weit agierenden Aktiengesellschaft Bisnode AB und löst gleichzeitig viele Kontroversen aus.
Die Meinungen der Rechtsexperten und Pressestimmen im Nachbarland gehen stark auseinander, und die progressive Partei Wiosna fordert den Premierminister Morawiecki zum sofortigen Aussetzen der Sanktionen für Verstöße gegen die DSGVO für ein Jahr und zur Ausführung einer neuen Informationskampagne zur korrekten Anwendung der DSGVO-Bestimmungen.
Das betroffene Unternehmen, die Bisnode Polska ist ein großer Anbieter für digitale Wirtschaftsinformationen und bietet neben der Bonitätsprüfung und Kreditauskünfte auch Produkte für „Marketing und Sales“ wie z.B. die Firmendatenbank mit Unternehmens- und Personeninformationen. Wegen Nichterfüllung von Informationspflichten nach Art. 14 DSGVO hat die polnische Datenschutzaufsichtsbehörde UODO (Urzad Ochrony Danych Osobowych) dem Unternehmen ein Bußgeld in Höhe von 943.000 Zloty (ca. 220.000 Euro) auferlegt.
Über 7 Mio. personenbezogenen Datensätze aus öffentlich zugänglichen Quellen
Die Bisnode Polska verarbeitete über 7 Mio. Datensätze aus öffentlich zugänglichen Quellen, darunter aus dem polnischen Handelsregister (KRS), dem Zentralregister der Wirtschaftlichen Tätigkeit (CEIDG) und dem REGON-System des Polnischen Hauptamtes für Statistik.
Im CEIDG-Register werden sämtliche Personen erfasst, die einer wirtschaftlichen Tätigkeit nachgehen, ohne eine besondere Rechtsform zu haben oder im Rahmen einer spółka cywilna (GbR des polnischen Rechts) tätig sind. In diesem Register befinden sich auch Daten solcher natürlichen Personen, die ihre Wirtschaftstätigkeit ausgesetzt oder schon ganz aufgegeben haben.
Die gesammelten Daten hat das Unternehmen genutzt, um sie in einer eigenen Datenbank zu erfassen und für kommerzielle Zwecke zu verwenden (unter anderem auch den Verkauf der Datenbank). Laut Angaben der Aufsichtsbehörde (UODO) befanden sich in der Datenbank 3,59 Millionen Datensätze von Einzelunternehmen und etwa 2,33 Millionen Datensätze von Personen, die ihre Wirtschaftstätigkeit aufgegeben haben.
Das Unternehmen hat seine Informationspflicht aus art. 14 DSGVO nur gegenüber den Personen ausgeübt, von denen die E-Mail-Adresse vorlag (die Angabe der E-Mail Adresse ist im CEIDG-Register freiwillig). Somit wurde nur einen Bruchteil der Betroffenen informiert.
Bei den restlichen Personen waren nur Telefonnummern oder Postanschrift vorhanden. Um die Betriebskosten zu sparen, verzichtete das Unternehmen auf eine Kontaktaufnahme per Post oder Telefon und veröffentlichte eine Informationsklausel auf der Unternehmens-Website. In der Folge war vielen betroffenen Personen die kommerzielle Verarbeitung ihrer Daten durch das Unternehmen gar nicht bekannt. Darin sah die polnische Datenschutzaufsichtsbehörde (UODO) einen Verstoß gegen Art. 14 DSGVO.
Aufsichtsbehörde: Nichterfüllung von Informationspflichten ist ein DGSVO-Verstoß
Nach Auffassung der UODO ist eine Bereitstellung von Informationen auf der Website des Unternehmens unzureichend, da betroffene Personen keine Kenntnis von der Verarbeitung durch das Unternehmen hätten und die Lösung, entsprechende Informationen durch den Betroffenen ohne jegliche Anhaltspunkte zu suchen, „völlig am Ziel vorbeischieße“. Die Behörde betonte, dass die Informationserteilung nach Art. 13 und 14 DSGVO zweifelsfrei zu den Kardinalpflichten eines jeden Verantwortlichen gehört. Die Rechten der Betroffenen müssen in einer geeigneten Form bereitgestellt werden, anderenfalls widerspricht das laut der Behörde auch der Transparenzprinzip und der Verarbeitung der Daten nach Treu und Glauben aus art. 5 Abs. 1 lit. a DSGVO.
Zudem sah die Aufsichtsbehörde in diesem Fall sogar eine vorsätzliche Verletzung für die Datenverarbeitung, da sich das Unternehmen der Verpflichtung zur Bereitstellung relevanter Informationen sowie der Notwendigkeit durchaus bewusst war. Auch die laut UODO unzureichende Kooperation des Unternehmens mit der Aufsichtsbehörde wurde bemängelt, da in dem konkreten Fall weder Abhilfemaßnahmen ergriffen wurden, um die Zuwiderhandlung zu beenden, noch wurde eine dahingehende Absicht geäußert.
Unverhältnismäßiger Aufwand vs. Betroffenenrechte?
Das betroffene Unternehmen berief sich auf einen unverhältnismäßigen Aufwand (im konkreten Fall zu hohe Kosten), der in der aktiven Informationserteilung per Post läge. Tatsächlich sieht art. 14 Abs. 5 lit. b DSGVO eine Ausnahme der Informationspflicht für solche Fälle vor, in denen sich die Erteilung der Information als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde. Letzteres könnte nach Erwägungsgrund 62 insbesondere bei Verarbeitungen für im öffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken der Fall sein. Als Anhaltspunkte sollten dabei die Zahl der betroffenen Personen, das Alter der Daten oder etwaige geeignete Garantien in Betracht gezogen werden. Ein Beratungsgremium der EU-Kommission, die Artikel 29 Datenschutzgruppe fordert hingegen eine sehr enge Auslegung.
Die Aufsichtsbehörde ließ jedoch dieses Argument der Bisnode Polska nicht gelten und legte in der Entscheidungsbegründung nah, dass auch eine Informationserteilung per einfachen Brief (und nicht unbedingt mit einem Einschreiben) ausreichend wäre und für ein Unternehmen, das im Rahmen seiner professionellen Tätigkeit personenbezogene Daten zu kommerziellen Zwecken verarbeitet, zumutbar. Wie wichtig die Erfüllung der Infopflichten sei, zeige, dass viele von den per E-Mail informierten Personen der Verarbeitung durch Bisnode widersprochen haben, betonte die Präsidentin der Aufsichtsbehörde auf der Pressemitteilung. Die große Mehrzahl der betroffenen Personen hatte keine Möglichkeit, der kommerziellen Weiterverarbeitung ihrer Daten zu widersprechen sowie deren Berichtigung oder Löschung zu verlangen. Darin sieht die Behörde einen schwerwiegenden Verstoß von Datenschutzrechten der betroffenen Personen.
Die Meinungen der Experten gehen stark auseinander
Ein Teil der Rechtsexperten und Pressestimmen kritisiert diese Entscheidung der Aufsichtsbehörde und die Höhe der Geldstrafe. Man stellt außerdem die Frage, ob das ein sinnvolles erstes DSGVO-Bußgeld ist, da sich das betroffene Unternehmen zumindest mit der DSGVO auseinandergesetzt habe und insbesondere im Direktmarketing gäbe es andere, größere Datenschutzprobleme und Praktiken, die für ein hohes und symbolisches erstes Bußgeld viel besser geeignet sind.
Auf der anderen Seite sind auch viele Experten ähnlich wie die Aufsichtsbehörde der Meinung, dass die Informationserteilung per einfachen Postbrief weder unmögliche Tätigkeit noch ein unverhältnismäßiger Aufwand sei. Man argumentiert, dass ein professionales Unternehmen, das seit vielen Jahren die personenbezogenen Daten zur kommerziellen Zwecken ausnutzt und damit relativ große Gewinne erlangt, anstatt Ersparnisse zu suchen in der Lage sein soll finanzielle Aufwendungen zu tragen, um die in DSGVO vorgesehene Infopflichten zu erfüllen.
Die Bisnode-Gruppe erwirtschaftete im Geschäftsjahr 2017 einen Umsatz von 3,6 Milliarden Schwedischen Kronen. Bisnode Polska hat auf ihrer Webseite angekündigt, gegen die Entscheidung gerichtlich vorgehen zu wollen. Man prüfe derzeit eine Klage vor dem Oberverwaltungsgericht in Warschau.
Geht das Unternehmen in die Berufung, ist dann sehr wahrscheinlich, dass das Gericht die EuGH im Rahmen eines sog. Vorabentscheidungsverfahren, um Klärung der Anwendung der Ausnahme von Erfüllung der Informationspflichten bitten wird.
Fazit
Die Entscheidung der polnischen Aufsichtsbehörde ist restriktiv und mutig. Sie öffnet jetzt eine breitere Diskussion darüber – wann insbesondere im kommerziellen Bereich die Erteilung der Infopflichten nach DSGVO sich für den Verantwortlichen als unverhältnismäßig aufwendig erweist. Sollte der Rechtsstreit dem EuGH vorgelegt werden oder bis zum EuGH kommen, so steht bereits jetzt fest, dass die Entscheidung europaweite Bedeutung haben wird. Es bleibt erstmal abzuwarten, ob sich die Gerichte dieser relativ strengen Ansicht der Aufsichtsbehörde anschließen. Bis dahin ist insbesondere bei rein kommerzieller Datenverarbeitung zu empfehlen sich nicht leichtfertig auf die Ausnahme von Erfüllung der Informationspflichten zu berufen. Vielmehr sind aus Rechtssicherheitsgründen alle möglichen Mittel für die Informationserteilung in Erwägung zu ziehen, z.B. ein einfacher Brief.