Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (im Folgenden: DSGVO) sieht die Möglichkeit der Verhängung von Geldbußen bei Nichteinhaltung, Verletzung oder Verstoß gegen ihre Bestimmungen vor. In Polen werden diese Geldbußen vom Präsidenten des Amtes für den Schutz personenbezogener Daten (im Folgenden: PUODO) im Wege einer Verwaltungsentscheidung verhängt. Seit Inkrafttreten der DSGVO wurden in Polen über 60 Geldbußen mit einer Gesamtsumme von über 3,4 Millionen Euro verhängt.
Die jüngste Geldbuße in Höhe von 100.000 €, die 2023 vom Präsidenten des Amtes für den Schutz personenbezogener Daten verhängt wurde, betrifft den Gesundheitsminister wegen eines Verstoßes gegen die Datenschutzbestimmungen. Dieser Verstoß betraf die unrechtmäßige Verarbeitung personenbezogener Daten, einschließlich Daten besonderer Kategorien. Die Daten wurden über eine elektronische Plattform erlangt und anschließend ohne Rechtsgrundlage auf der Social-Media-Plattform „X“ veröffentlicht. Der Verstoß umfasste zudem das Fehlen geeigneter technischer und organisatorischer Maßnahmen zur Gewährleistung eines dem Risiko der Datenverarbeitung angemessenen Sicherheitsniveaus sowie die unterlassene Bereitstellung der in Artikel 33 Absatz 3 Buchstaben c und d DSGVO genannten Informationen an die betroffenen Personen. Diese Informationen umfassen eine Beschreibung der möglichen Folgen der Datenschutzverletzung und eine Beschreibung der vom Verantwortlichen getroffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung, einschließlich Maßnahmen zur Minimierung ihrer potenziellen negativen Auswirkungen.
Seit Januar 2024 hat das Amt für den Schutz personenbezogener Daten (PUODO) vier Bußgelder verhängt. Das erste Bußgeld wurde erneut gegen das Krakauer Portal Morele.net verhängt, das bereits 2019 mit 660.000 € bestraft worden war. Morele.net verstieß erneut gegen die DSGVO, indem es keine angemessenen technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung in seinen IT-Systemen und zum Schutz der Rechte der betroffenen Personen implementierte. Dies führte zu einem Verstoß gegen die Grundsätze der Datenintegrität und -vertraulichkeit. Das Bußgeld belief sich auf 3.819.960 PLN, was umgerechnet 810.000 € entspricht.
Eine weitere in diesem Jahr verhängte Geldbuße betraf ein Unternehmen, das gegen die DSGVO verstoßen hatte, indem es den Präsidenten des Amtes für den Schutz personenbezogener Daten nicht unverzüglich, spätestens jedoch 72 Stunden nach Entdeckung der Verletzung, über diese informierte und die betroffenen Personen nicht unverzüglich benachrichtigte. Es wurde eine Geldbuße in Höhe von 9.903,60 PLN verhängt. Darüber hinaus ordnete die Behörde an, dass die drei im Bescheid genannten Personen, deren PESEL-Nummern infolge der unbefugten Offenlegung offengelegt wurden, innerhalb von drei Tagen nach Bekanntgabe des Bescheids über die Verletzung des Schutzes personenbezogener Daten informiert werden, um ihnen die gemäß Artikel 34 Absatz 2 der Verordnung 2016/679 erforderlichen Informationen zukommen zu lassen. Es wurde betont, dass das Vorliegen eines hohen Risikos der Verletzung von Rechten oder Freiheiten natürlicher Personen neben der Eintragung in das Register der Verstöße den Verantwortlichen verpflichtet, sowohl gegenüber der Aufsichtsbehörde (Meldung einer Datenschutzverletzung) als auch gegenüber den betroffenen Personen geeignete Maßnahmen zu ergreifen.
Die jüngste Geldstrafe in Höhe von 78.575,40 PLN wurde gegen die Toyota Bank Polska S.A. mit Sitz in Warschau verhängt. Grund dafür war die Meldung einer Datenschutzverletzung an den Präsidenten des Amtes für den Schutz personenbezogener Daten. Betroffen waren die persönlichen Daten einer Person, darunter Name, Bankkontonummer, Wohnanschrift, PESEL (polnische nationale Identifikationsnummer) sowie Ausweisnummer und -seriennummer. Die Verletzung entstand durch einen Fehler eines Mitarbeiters, der ein Bankschreiben mit einem Darlehensvertrag und einem Tilgungsplan an einen anderen Kunden versandte. Dadurch gelangten die Daten in die Hände einer unbefugten Person. Das Schreiben wurde zwar an die Bank zurückgesandt, die Begründung der Bank lautet jedoch, dass lediglich ein Sicherheitsvorfall registriert und die Datenschutzverletzung nicht fristgerecht der Aufsichtsbehörde gemeldet wurde.
Die bisher höchste verhängte Strafe beträgt 4.911.732 PLN und wurde gegen Fortum Marketing and Sales Polska SA, ein mit PIKA Sp. z o.o. kooperierendes Unternehmen, verhängt. Die von PIKA Sp. z o.o. verhängte Geldbuße belief sich auf 250.135 PLN. Der gemeldete Verstoß bestand darin, dass Kundendaten des Verantwortlichen kopiert wurden. Der Vorfall stand im Zusammenhang mit der Implementierung einer Änderung der IT-Umgebung für die Dienste, die die Effizienz des gesamten Datenspeichers steigern sollte. Die Behörde stellte fest, dass die an die Vereinbarung zur Verarbeitung personenbezogener Daten gebundenen Unternehmen den Verstoß begangen hatten, da sie keine angemessenen technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten ergriffen hatten, was zu einer Verletzung der Vertraulichkeit führte, und da die Überprüfung des Auftragsverarbeiters fehlte. Bei der Festlegung der Höhe der gegen Fortum Marketing and Sales Polska SA und PIKA Sp. z o.o. verhängten Geldbuße… Die Behörde berücksichtigte die Umstände des Falles, die eine erschwerende Wirkung hatten und die Höhe der verhängten Geldbuße beeinflussten, wie beispielsweise: die Art und Schwere des Verstoßes, den Grad der Verantwortung der Unternehmen unter Berücksichtigung der umgesetzten technischen und organisatorischen Maßnahmen, einschlägige frühere Verstöße gegen die Bestimmungen der Verordnung und die Kategorien der von dem Verstoß betroffenen personenbezogenen Daten.
Es ist außerdem zu beachten, dass die Aufsichtsbehörden die Befugnis haben, neben finanziellen Strafen auch andere Sanktionen zu verhängen, wie etwa Warnungen, Einschränkungen der Datenverarbeitung oder ein vorübergehendes oder dauerhaftes Verbot der Datenverarbeitung.
Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar.
Rechtsstatus ab dem 10. April 2024
Autor:
