Bußgeld von über 200.000 € wegen Verstoß gegen die Informationspflicht

Odoo • A picture with a caption

 

Die polnische Datenschutzbehörde hat gerade ihr erstes Bußgeld verhängt, und das gleich in Höhe von umgerechnet etwa 219.650 €, weil 6.000.000 Menschen nicht über die Verarbeitung informiert wurden.

Ein Unternehmen hatte Daten aus öffentlichen Datenbanken bezogen. Nur von 90.000 Personen waren in diesen Daten auch die E-Mail-Adressen vorhanden. Da das Unternehmen die personenbezogenen Daten nicht bei der betroffenen Person selbst erhoben hatte, wollte es seiner Informationspflicht nach Art. 14 Abs. 1 DSGVO nachkommen und unterrichtete die 90.000 Personen, von denen es die E-Mail-Adresse kannte, per E-Mail über die Datenverarbeitung. Man befand es als unverhältnismäßig, die übrigen Personen telefonisch oder postalisch zu informieren.

Die polnische Datenschutzbehörde argumentierte unter anderem damit, dass 12.000 der rund 90.000 informierten Personen der Datenverarbeitung widersprochen hätten. Das zeige, wie wichtig die Informationspflicht für die Geltendmachung der echte der Betroffenen sei. Es sei dabei nicht notwendig, dieser Informationspflicht per Einschreiben nachzukommen. Eine Information per einfachem Brief wäre ausreichend und verhältnismäßig gewesen, so die Aufsichtsbehörde.

Die polnische Datenschutzbehörde bewertete die Tatsache, dass sich das polnische Unternehmen seiner Informationspflicht im Prinzip bewusst gewesen sei, als erschwerend und nimmt daher sogar eine vorsätzliche Verletzung der DSGVO an. Diesen Ansatz halte ich für kritisch, da das Unternehmen sich offensichtlich Gedanken über die Informationsverpflichtung gemacht hatte und lediglich eine falsche Bewertung vorgenommen hatte.

Kernfrage dürfte sein, ob es tatsächlich einen unverhältnismäßigen Aufwand darstellt, 6.000.000 Personen anzuschreiben, deren Daten man verarbeiten möchte. Auf den ersten Blick mag man dem vielleicht zustimmen wollen. Andererseits darf man nicht vergessen, dass jemand, der eine solch große Anzahl von Adressen einsetzt, auch einen entsprechend großen Nutzen davon haben kann. Und soll dieser „Massenverarbeiter“ etwa gegenüber einem kleinen Unternehmen bevorzugt werden, das nur 1.000 Adressen aus öffentlichen Quellen sammelt und verarbeitet und deshalb zweifelsohne seiner Informationspflicht nachkommen muss? Hier würde ich der Behörde zustimmen.