HomeIco

Home

 InternIco

Intern

 GlobalIco

Global

 KontaktIco

Kontakt
de|en|pl

Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.
Themen Erste Strafe für die Nichtbeachtung der DSGVO

Erste Strafe für die Nichtbeachtung der DSGVO

PrintMailRate-it
S_photocase_1849943.jpg 
 
Jarosław Kamiński, Michał Liszka
15. April 2019
 
Knapp 10 Monate nach dem Inkrafttreten der Vorschriften der Datenschutz-Grundverordnung (DSGVO) hat die Präsidentin der Datenschutzbehörde entschieden, die erste finanzielle Strafe für die rechtswidrige Verarbeitung personenbezogener Daten aufzuerlegen. Bestraft wurde eine Gesellschaft, welche öffentlich zugängliche Daten, z. B. aus dem Zentralen Gewerberegister, verarbeitet hatte. Aufgrund dieser Daten führte die Gesellschaft anschließend Analysen unter Anwendung von Scoring-Modellen durch.


Nicht erfüllte Informationspflicht


Wie die Präsidentin der Datenschutzbehörde argumentierte, wurde die Strafe von über 943.000 PLN der Gesellschaft für die Nichterfüllung der Informationspflicht gegenüber über 6 Mio. Personen auferlegt. Die Betroffenen wurden nicht darüber informiert, dass ihre personenbezogenen Daten verarbeitet werden, d.h. ihnen wurde die sich aus der DSGVO ergebende Möglichkeit entzogen, u.a. folgende Rechte in Anspruch zu nehmen: Recht auf Berichtigung der Daten bzw. das Recht auf Vergessenwerden. Die Informationspflicht wurde ausschließlich gegenüber denjenigen Personen erfüllt, über deren E-Mail-Adressen die Gesellschaft verfügte (ca. 90 Tsd., wobei ca. 12 Tsd. von ihnen Widerspruchsrecht gegen solche Verarbeitung einlegte). Nicht über die Verarbeitung informiert wurden dagegen diejenigen Personen, über deren Kontaktdaten (sei es Telefonnummer oder Korrespondenzanschrift) die verarbeitende Gesellschaft auch verfügte. Nach Auffassung der Gesellschaft wären diesbezügliche betriebliche Aufwendungen zu hoch gewesen.

Wesentlichen Einfluss auf die Höhe der auferlegten Strafe hatte die Annahme der Präsidentin der Datenschutzbehörde, dass die betreffende Nichterfüllung vorsätzlich gewesen sei, da obwohl die Gesellschaft sich ihrer Pflicht bewusst gewesen sei, sie keinerlei Schritte unternommen habe, um die entstandene Nichterfüllung wiedergutzumachen.


Begründetheit der Entscheidung und Kosten der Pflichterfüllung


Die bestrafte Gesellschaft hat in der von ihr veröffentlichten Erklärung die Begründetheit der auferlegten Strafe sowie die Auslegung durch die Präsidentin der Datenschutzbehörde als solche beanstandet. Am umstrittensten ist die Frage von Art. 14 Abs. 5 Buchstabe b. DSGVO, gemäß dem die Befreiung von der Informationspflicht dann möglich ist, wenn diese nicht erfüllbar ist, bzw.  einen unverhältnismäßigen Aufwand erfordert, worauf auch die Gesellschaft verwies und behauptete, dass die Kosten für die Erfüllung der Informationspflicht die o. g. Voraussetzung erfüllen würden. Die Auslegung dieser Vorschrift bereitet jedoch große Schwierigkeiten, daher könnte nach Auffassung vieler Anwälte die Vorlage von Vorabentscheidungsfragen an den EuGH durch das die Berufung der Gesellschaft prüfende Gericht von ausschlaggebender Bedeutung sein, denn der EuGH könnte diesbezügliche Zweifel klären. Da die ungünstige Entscheidung des Gerichts weitere Strafen für andere Unternehmen nach sich ziehen kann, wird diese Angelegenheit zweifelsohne breit kommentiert und verfolgt.

Unabhängig von dem Ausgang des Verfahrens ist die Entscheidung der Präsidentin der Datenschutzbehörde ein klares Anzeichen dafür, dass nach knapp einem Jahr der Geltungsdauer der EU-Verordnung die Zeit für deren entsprechende Umsetzung in den Unternehmen vorbei ist.  Die in den Medien angekündigte Durchführung weiterer Kontrollen durch die Präsidentin der Datenschutzbehörde kann weitere (darunter finanzielle) Sanktionen nach sich ziehen. Umso wichtiger ist es, in Unternehmen ein Audit bezüglich der Verarbeitung personenbezogener Daten durchführen zu lassen, um zu prüfen, ob die ausgeübte Gewerbetätigkeit mit den geltenden Regelungen übereinstimmt und die aufbewahrten Daten sicher sind.

Haben Sie Interesse an einem Audit bez. der DSGVO, so setzen Sie sich bitte mit den Experten von Rödl & Partner in Verbindung.

Kontakt

Contact Person Picture

Jarosław Kamiński

Attorney at law (Polen)

Associate Partner

+48 694 207 482

Anfrage senden

Profil
Befehle des Menübands überspringen
Zum Hauptinhalt wechseln
Deutschland Weltweit Search Menu