Home
Intern
Global
Kontakt
Aneta Siwek
17. Juni 2021
Der Präsidenten der Polnischen Datenschutzbehörde (UODO) hat durch Bescheid vom 22. April 2021 (DKN.5130.3114.2020) dem Verantwortlichen – der Cyfrowy Polsat S.A. – eine Verwaltungsstrafe i.H.v. 1.136.975 PLN auferlegt.
Die Cyfrowy Polsat S.A. hatte nicht die erforderlichen Mechanismen geschaffen, die es erlaubt hätten, im Rahmen der Zusammenarbeit der Cyfrowy Polsat mit einem Kurierdienst Verstöße gegen die Datenschutzbestimmungen schnell zu identifizieren. Dem Verantwortlichen wurde die Verletzung von Art. 24 Abs. 1 sowie Art. 32 Abs. 1 und 2 DSGVO zur Last gelegt.
Der Präsident der UODO warf dem Verantwortlichen Säumigkeit bei der Feststellung von Verstößen gegen den Datenschutz vor. Er wies auf den langen Zeitraum hin, der zwischen dem Eintritt des betreffenden Ereignisses, das zu einer Verletzung der Datenschutzvorschriften führte, und der endgültigen Feststellung dieses Ereignisses durch den Verantwortlichen verging. In der Konsequenz erfolgten die Benachrichtigung der Personen, deren Rechte und Freiheiten bedroht waren sowie die Meldung der Verletzung sage und schreibe mehrere Monate nach Eintritt des betreffenden Ereignisses.
Nach Auffassung des Präsidenten der UODO hat die Gesellschaft die Wirksamkeit der technischen und organisatorischen Mittel, die die Sicherheit der Verarbeitung personenbezogener Daten in Dokumenten gewährleisten sollen, die den Kunden der Gesellschaft per Kurierdienst zugestellt werden, nicht ausreichend bewertet.
Der Präsident der UODO wies außerdem auf die Nichterfüllung der Anforderung gemäß Art. 34 Abs. 2 i.V.m. Art. 33 Abs. 3 Buchst. c) DSGVO hin – der Verantwortliche hat die Personen, deren Daten betroffen sind, nicht über die möglichen Konsequenzen einer Verletzung des Schutzes personenbezogener Daten informiert.
Nach Meinung des Präsidenten der UODO hat die Gesellschaft keine ausreichende Risikoanalyse durchgeführt, weswegen das Risiko unterschätzt wurde. Die vorgenommene Analyse erwies sich als unvollständig, da sie einige Situationen außer Acht ließ, in denen das Risiko von Verletzungen des Datenschutzes hoch war. Die Gesellschaft hat außerdem nicht ausreichend nachgewiesen, dass jede Verletzung individuell bewertet wurde.
Wie sich aus dem Bescheid ergibt, befreit die Meldung einer Verletzung der Vorschriften zum Schutz personenbezogener Daten an die Aufsichtsbehörde innerhalb der in Art. 33 DSGVO angegebenen Frist oder innerhalb einer Frist, die in gesonderten, den Verantwortlichen bindenden Vorschriften angegeben ist, den Verantwortlichen nicht davon Maßnahmen zu ergreifen, die auf die effektive und schnelle Identifizierung von Verletzungen des Schutzes personenbezogener Daten abzielen.
Zwecks korrekter Risikobewertung sind sowohl der Verantwortliche als auch der Auftragsverarbeiter verpflichtet, angemessene technische und organisatorische Maßnahmen zu ergreifen, um einen angemessenen Grad der Datensicherheit zu gewährleisten, der dem mit ihrer Verarbeitung verbundenen Risiko entspricht. Sie müssen sich außerdem vergewissern, ob die ergriffenen Maßnahmen es erlauben, jede Verletzung unverzüglich festzustellen und sie der Aufsichtsbehörde sowie der Person, deren Daten betroffen sind, zu melden. Erfolgt keine schnelle Reaktion seitens des Auftragsverarbeiters, so befreit dies den Verantwortlichen nicht von der Haftung für die Feststellung einer Verletzung des Schutzes personenbezogener Daten.
Gemäß Art. 34 Abs. 1 DSGVO gilt Folgendes: Hat die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge, so benachrichtigt der Verantwortliche die betroffene Person unverzüglich von der Verletzung.
Die Vorbeugung gegen Verletzungen oder die unverzügliche Reaktion auf bereits eingetretene Verletzungen sind Schlüsselelemente jeder Datensicherheitspolitik. Orientiert man sich an den Richtlinien der Arbeitsgruppe Art. 29, die die Meldung des Schutzes personenbezogener Daten gemäß DSGVO betreffen und auf die sich der Präsident der UODO beruft, so gilt: Natürliche Personen sind über eine Verletzung „ohne unnötige Verzögerung“ – d.h. schnellstmöglich – zu benachrichtigen.
Das Fehlen wirksamer Mechanismen, die eine schnelle Identifizierung von Verletzungen der Vorschriften zum Schutz personenbezogener Daten erlaubt hätten, sowie die Minimierung des Umfangs dieser Verletzungen führten letztendlich dazu, dass die Cyfrowy Polsat S.A. die sich aus Art. 24 Abs. 1 sowie aus Art. 32 Abs. 1 und 2 DSGVO ergebenden Pflichten verletzte. Die Einführung solcher Mechanismen nach der Einleitung des Verwaltungsverfahrens sowie nach vorheriger Vorlage eigener Analysen durch den Präsidenten der UODO schützte die Gesellschaft nicht vor den Konsequenzen der Verletzung und vor der Geldstrafe.
Nach Meinung des Präsidenten der UODO wäre die Gesellschaft in der Lage gewesen, wirksame Maßnahmen mit dem Ziel zu ergreifen, den Umfang der Verletzungen zu minimieren und die bei der Zustellung von Sendungen durch Kurier aufgetretenen Verletzungen schnell zu identifizieren – auch unter Pandemiebedingungen.
Trotz der Einführung von einer Politik und von Verfahren zum Datenschutz, die die Meldung von Verletzungen und den Abschluss eines Überlassungsvertrages betreffen, hat der Verantwortliche in der Praxis keine geeigneten Verfahren ausgearbeitet, mit denen hätte kontrolliert werden können, ob der Auftragsverarbeiter seinen Pflichten nachkommt. Deshalb hat er die Verletzungen des Datenschutzes, die mit der Versendung von Dokumentationen, die personenbezogene Daten enthielten, verbunden waren, nicht laufend identifiziert. Deshalb wurden die Personen, deren Daten betroffen waren, erst lange nach Eintritt des Ereignisses informiert, das zur Verletzung des Datenschutzes führte.
In Randnummer 85 DSGVO heißt es: Eine Verletzung des Schutzes personenbezogener Daten kann — wenn nicht rechtzeitig und angemessen reagiert wird — einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa:
Der oben geschilderte Fall zeugt davon, wie wichtig nicht nur die Erarbeitung und Einführung entsprechender Verfahren zum Schutz personenbezogener Daten in einer Organisation durch den Verantwortlichen ist – was sich auch auf die Beziehungen zu Rechtsträgern bezieht, die für ihn bestimmte Dienstleistungen im Zusammenhang mit der Datenverarbeitung erbringen. Wichtig ist vor allem, dass die sich aus den o.g. Dokumenten ergebenden Pflichten tatsächlich beachtet und Maßnahmen ergriffen werden, die dem Niveau des Risikos angemessen sind und ihre tatsächliche Anwendung sowie notwendigenfalls ihre laufende Aktualisierung erlauben.
Sollten Sie Fragen zur Datensicherheit haben, so setzen Sie sich bitte mit den Experten von Rödl & Partner in Verbindung.
Attorney at law (Polen)
Anfrage senden
