Die Verletzung der Informationspflichten nach Art 14 DSGVO wurde nun erstmals in Europa mit einem Bußgeld in Höhe von ca. 220.000 € geahndet. Die polnische Datenschutzaufsicht UODO (Urząd Ochrony Danych Osobowych) verhängte Ende März 2019 gegenüber dem Aktienunternehmen Bisnode AB, einem Anbieter für digitale Wirtschaftsinformationen, eine Geldstrafe für die Nichteinhaltung der datenschutzrechtlichen Informationspflichten.

Sachverhalt

Die Entscheidung der UODO betrifft die kommerzielle Verarbeitung von Daten durch Bisnode AB. Das Unternehmen verarbeitet personenbezogene Daten aus öffentlich zugänglichen Quellen, u.a. aus dem elektronischen Zentralregister und sonstigen Quellen mit Informationen über die Wirtschaftstätigkeit von Unternehmen und Personen. Betroffen sind damit personenbezogene Daten aus dem Bereich des B2B-Verkehrs.

Dem mit Stammsitz in Schweden ansässigen Aktienunternehmen wird vorgeworfen, dass nicht jede betroffene Person aus dem rund 6 Millionen Einträge umfassenden Datenpool über die in Art. 13, 14 DSGVO enthaltenen Betroffenenrechte informiert wurde, sondern lediglich diejenigen, deren E-Mail-Adresse sich in der Datenbank befand. In den Augen der UODO war Bisnode AB seiner Informationsverpflichtung nur gegenüber etwa 90.000 Personen in ausreichendem Maße nachgekommen. Im Fall der übrigen Personen war eine Information unterblieben, da eine Informationsbereitstellung via Telefon oder Brief dem Unternehmen in rund 6 Millionen Fällen zu aufwendig gewesen sei. Wie wichtig die Bereitstellung von Informationen über Betroffenenrechte jedoch sei, zeige sich dadurch, dass etwa 12.000 der 90.000 ordnungsgemäß informierten Personen der Verarbeitung durch Bisnode AB widersprochen hatten, betont die Präsidentin der UODO im Rahmen der dazu veröffentlichten Pressemitteilung vom 26. März 2019.

Bewertung durch die Aufsichtsbehörde

Aus Sicht der UODO liegt ein Verstoß gegen die DSGVO auf der Hand. Das Unternehmen habe über Postanschriften und Telefonnummern der betroffenen Personen verfügt, so dass es der Informationspflicht gegenüber den Personen, deren Daten verarbeitet werden, hätte nachkommen können.

Aus der Sicht der UODO sei die stattdessen erfolgte Bereitstellung von Informationen auf der Homepage des Unternehmens unzureichend, da betroffene Personen gar keine Kenntnis von der Verarbeitung durch Bisnode AB hätten. In der Pressemitteilung teilte die Präsidentin mit, dass weitere Möglichkeiten bestanden hätten, betroffene Personen zu informieren. Art. 14 DSGVO beschränke sich nach Ansicht der UODO nicht bloß auf „typische“ Mitteilungen über E-Mail, Brief oder Telefon, sondern ermögliche dem Verantwortlichen auch seiner Informationspflicht etwa in Form eines kurzen Werbespots vor den Hauptnachrichten, SMS-Nachrichten oder als Werbung auf viel frequentierten Internetportalen nachzukommen.

Die Verletzung der Informationspflicht sei überdies vorsätzlich erfolgt. Nach Ansicht der UODO war sich das Unternehmen der Verpflichtung zur Bereitstellung der Informationen sowie der Notwendigkeit der direkten Information der Personen bewusst.

Im Rahmen der Verhängung des Bußgeldes sei zudem die mangelnde Kooperationsbereitschaft des Unternehmens zu berücksichtigen gewesen. Die Aufsichtsbehörde bemängelt hier ausdrücklich, dass Bisnode AB weder Maßnahmen ergriffen habe, um die beanstandete Zuwiderhandlung gegen die DSGVO zu beenden, noch die Absicht bekundet habe, dies kurzfristig zu tun.

Unverhältnismäßig hohe Kosten vs. Betroffenenrechte?

Bisnode AB sieht sich laut einer Mitteilung zu Unrecht beschuldigt. Einerseits habe man auf der Homepage eine Information für betroffene Personen bereitgestellt und so jedermann eine Möglichkeit eröffnet, über Betroffenenrechte informiert zu werden. Andererseits stammen die personenbezogenen Daten aus öffentlichen Quellen, wie etwa dem elektronischen Zentralregister (CEIDG), so dass eine Informationspflicht nach Art. 14 DSGVO des Unternehmens gegenüber den Betroffenen gar nicht bestehe. Zu seiner Verteidigung führt das Unternehmen zudem an, dass gemäß Art. 14 Abs. 5 lit. b DSGVO eine Informationspflicht nach Art. 14 Abs. 1 bis 4 DSGVO nicht erforderlich ist, wenn und soweit

„die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde; […]“.

Diese Einschränkung würde hier greifen. Ein polnisches Nachrichtenportal schätzt die Kosten für eine Informationserteilung per Telefon oder auf dem postalischen Wege als Einschreiben per Brief auf ca. 10 bis 30 Millionen Zloty, sollten rund 6 Millionen Menschen informiert werden müssen. Ein Kostenaufwand, der aus Sicht von Bisnode AB in keinem Verhältnis zu den Betroffenenrechten stehe.

Bisnode AB hat angekündigt, die Datensätze nicht informierter Personen zu löschen und gegen den Bußgeldbescheid gerichtlich vorgehen zu wollen. Man prüfe derzeit eine Klage vor dem Oberverwaltungsgericht in Warschau und ziehe auch den weiteren Gang vor den Europäischen Gerichtshof (EuGH) in Betracht.

Ausblick

Erstmalig seit dem Inkrafttreten der DSVGO hat eine europäische Datenschutzbehörde ein Bußgeld wegen der Verletzung der Informationspflichten verhängt.

Die Informationserteilung nach Art. 13, 14 DSGVO gehört zu den Kardinalspflichten eines jeden Verantwortlichen. Die Betroffenenrechte müssen den betroffenen Personen in einer geeigneten Form bereitgestellt werden. Ob und inwieweit Bisnode AB sich tatsächlich auf das Privileg des Art. 14 Abs. 5 lit. b DSGVO wegen unverhältnismäßig hoher Kosten zurückziehen kann, bleibt abzuwarten. Dafür könnte eine Passage aus dem Erwägungsgrund 62 zur DSGVO sprechen, in dem es heißt, dass

„die Pflicht, Informationen zur Verfügung zu stellen, [sich jedoch] erübrigt […], wenn die betroffene Person die Information bereits hat, wenn die Speicherung oder Offenlegung der personenbezogenen Daten ausdrücklich durch Rechtsvorschriften geregelt ist oder wenn sich die Unterrichtung der betroffenen Person als unmöglich erweist oder mit unverhältnismäßig hohem Aufwand verbunden ist.[…] Als Anhaltspunkte sollten dabei die Zahl der betroffenen Personen, das Alter der Daten oder etwaige geeignete Garantien in Betracht gezogen werden.“

Fraglich ist indes, ob dieser Erwägungsgrund vorliegend überhaupt zum Tragen kommt, betrifft er doch primär Verarbeitungen für im öffentlichen Interesse liegende Archivzwecke, zu wissenschaftlichen oder historischen Zwecken. Bereits der Europäische Datenschutzausschuss positionierte sich in seiner Ausgestaltung als Artikel-29-Datenschutzgruppe dahingehend, dass der Erwägungsgrund für Unternehmen, die nicht in das benannte Tätigkeitsfeld fallen, „sich im Normalfall nicht auf diese Aufnahme berufen sollten“ (Leitlinien für Transparenz gemäß der Verordnung 2016/679 der Artikel-29-Datenschutzgruppe, WP 260, S. 35, Rz. 61).

Zu den interessanten Fragestellungen gehört sicherlich auch, ob die Gerichte dem Argument Gehör schenken, dass die Daten im vorliegenden Fall nicht aus einer Direkterhebung, sondern aus öffentlich zugänglichen Quellen stammen. Sollte der Rechtsstreit bis zum EuGH kommen, so steht bereits jetzt fest, dass die Entscheidung europaweite Bedeutung haben wird.

Fazit

Auch wenn es sich bei der Entscheidung der polnischen Aufsichtsbehörde um eine sehr restriktive und beherzte Entscheidung handelt, zeigt sie doch deutlich, dass die Informationspflichten nicht auf die leichte Schulter genommen werden sollten. Die Erfüllung derselben sollte nicht leichtfertig als unmöglich angenommen werden. Vielmehr zeigt die Entscheidung deutlich, dass auch vermeintlich ungewöhnliche Wege zur Erfüllung der Informationspflichten genutzt werden können und sollten.


Autor: Yvonne Quad

Sie sind unsicher, ob Ihr Unternehmen alle Informationspflichten korrekt erfüllt? Wir unterstützen Sie gern.