Die polnische Datenschutz-Aufsichtsbehörde hat Medienberichten zufolge einen Verantwortlichen mit einer Busse von umgerechnet rund EUR 220’000 bestraft. Der Verantwortliche hat offenbar Informationen aus öffentlichen Registern bezogen und für ein kommerzielles Produkt verwendet. Die Verarbeitung betraf rund 6 Millionen Betroffene.
Der Verantwortliche informierte aber nur diejenigen rund 90’000 Personen aktiv, deren E‑Mail-Adresse er kannte. Auf eine individuelle Mitteilung an die restlichen Betroffenen – bspw. durch Brief an die Postadresse oder Telefonanruf – hat der Verantwortliche aus Kostengründen verzichtet, und die Datenschutzerklärung auf seiner Website wurde als ungenügend beurteilt. Insbesondere wäre der Verantwortliche laut Behörde nicht verpflichtet gewesen, eine Datenschutzerklärung mit eingeschriebener Post zu versenden, was der Verantwortliche geltend gemacht hatte.
Bei der Bemessung der Busse spielten offenbar folgende Faktoren eine Rolle:
- Der Vorsatz des Verantwortlichen, der sich seiner Informationspflicht bewusst war;
- die Schwere des Verstosses, weil eine Verletzung der Transparenzpflicht (Art. 14 DSGVO) dazu führt, dass die Betroffenen ihre Rechte nicht ausüben können;
- der Umstand, dass von den 90’000 informierten Personen rund 12’000 der Bearbeitung widersprachen, was die schlechte Akzeptanz der Verarbeitung zeigt;
- dass der Verantwortliche die intransparente Verarbeitung während der Untersuchung nicht einstellte und offenbar auch nicht erklärte, die Verletzung unterlassen zu wollen.
Offen bleibt, ob eine Datenschutzerklärung auf der Website genügt hätte, hätte der Verantwortliche nicht über die Adressen der Betroffenen verfügt.