In den letzten Tagen konnte man hören, dass das Provinzverwaltungsgericht in Warschau die Entscheidung des Präsidenten des Amtes für den Schutz personenbezogener Daten bestätigte, gegen den Bürgermeister von Aleksandrów Kujawski eine Geldstrafe in Höhe von 40.000 PLN zu verhängen.
Der Bürgermeister hat als Verantwortlicher für die Verarbeitung personenbezogener Daten keine Auftragsverarbeitungsvereinbarung mit den Stellen abgeschlossen, an die er personenbezogene Daten übermittelt hat, und damit gegen die Bestimmungen der EU-Datenschutz-Grundverordnung (DSGVO) verstoßen. Die Pflicht zum Abschluss einer solchen Vereinbarung ergibt sich direkt aus der DSGVO, und ihr Fehlen kann schwerwiegende – auch finanzielle – Folgen haben, wie der Bürgermeister von Aleksandrów Kujawski erfahren musste. Im Allgemeinen regelt diese Vereinbarung die gegenseitigen Rechte und Pflichten der Parteien und sollte geeignete organisatorische und technische Maßnahmen zur Gewährleistung einer rechtmäßigen Datenverarbeitung sicherstellen. Wesentliche Bestandteile eines solchen Dokuments sind der Umfang (welche Daten anvertraut werden) und der Zweck (Angabe des Grundes für die Datenverarbeitung). Die genaue Definition und Einhaltung der Vertragsbestimmungen ist besonders wichtig, da sie die ordnungsgemäße Umsetzung der Datenschutzbestimmungen gewährleistet. Online verfügbare Vorlagen reichen möglicherweise nicht aus; daher ist es unerlässlich, dass die Vereinbarung auf den Umfang der Tätigkeiten des Verantwortlichen zugeschnitten ist.
Der Generalvermessungsdirektor Polens wurde wegen Verstoßes gegen den Grundsatz der rechtmäßigen Datenverarbeitung , d. h. gegen Artikel 5 Absatz 1 Buchstabe a und Artikel 6 der DSGVO, mit einer Geldstrafe von 100.000 PLN belegt. Diese Artikel schreiben vor, dass personenbezogene Daten rechtmäßig, nach Treu und Glauben und in transparenter Weise gegenüber der betroffenen Person verarbeitet werden müssen. Hauptgrund für die hohe Geldstrafe war, dass die Behörde auf Grundlage von Vereinbarungen mit Bezirksvorstehern Informationen aus dem Liegenschafts- und Gebäuderegister (einschließlich Grundbuch- und Hypothekennummern) erhalten und auf der Online-Plattform GEOPORTAL2 veröffentlicht hatte. Der Präsident des Amtes für den Schutz personenbezogener Daten (UODO) befand, dass diese Vereinbarungen unzureichend waren und keine Grundlage für die Offenlegung dieser Datenkategorie darstellten.
Grundbuch- und Hypothekenregisternummern sind personenbezogene Daten, und der Präsident des Amtes für den Schutz personenbezogener Daten (UODO) hatte daran bei der Verhängung der Strafe keinen Zweifel. Gemäß der DSGVO sind personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Die Veröffentlichung der Grundbuch- und Hypothekenregisternummern durch das polnische Generalvermessungsamt ermöglicht es jedem Internetnutzer, darauf zuzugreifen, was die Sicherheit der Betroffenen beeinträchtigen kann.
Erwähnenswert ist auch die höchste jemals vom Präsidenten des Amtes für den Schutz personenbezogener Daten (UODO) verhängte Geldbuße von über 2,8 Millionen PLN gegen „morele.net“ wegen unzureichender organisatorischer und technischer Sicherheitsmaßnahmen, die zu einem unbefugten Zugriff auf die personenbezogenen Daten von 2,2 Millionen Menschen führten. Die DSGVO erlaubt es nationalen Datenschutzbehörden, Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes zu verhängen.
Eine Analyse der verhängten Bußgelder zeigt unzweifelhaft deren steigende Höhe. Dies dürfte auf die Bestimmungen der EU-Verordnung zurückzuführen sein, die vorschreiben, dass Bußgelder im Einzelfall nicht nur wirksam und verhältnismäßig, sondern auch abschreckend wirken müssen. Hinzu kommt, dass das Budget der UODO im Jahr 2019 im Vergleich zum Vorjahr gekürzt wurde – Daten, die der Europäische Datenschutzausschuss in seinem Jahresbericht veröffentlicht hat.
Die Budgetkürzung der UODO mag überraschen, insbesondere da die EU-Verordnung der Behörde zusätzliche Pflichten auferlegt und damit einen höheren Arbeitsaufwand verursacht hat. Dies ist keine gute Nachricht für Datenverantwortliche; der Präsident der UODO könnte bei der Verhängung weiterer Bußgelder tief in deren Kasse greifen müssen. Bedauerlicherweise könnte dies auch bedeuten, dass diese Bußgelder auf das Niveau der von Institutionen in anderen europäischen Ländern verhängten Bußgelder ansteigen.
Quellenmaterialien:
- Urteil des Woiwodschaftsverwaltungsgerichts Warschau vom 26. August 2020, Aktenzeichen II SA/Wa 2826/19,
- Beschluss des Präsidenten des Amtes für den Schutz personenbezogener Daten vom 24. August 2020, Aktenzeichen DKN.5112.13.2020,
- Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. EU L. 2016 Nr. 119, in der geänderten Fassung)
