Die pol­ni­sche Daten­­­schutz-Auf­­­sichts­­be­hör­­de hat Medi­en­be­rich­ten zufol­ge einen Ver­ant­wort­li­chen mit einer Bus­se von umge­rech­net rund EUR 220’000 bestraft. Der Ver­ant­wort­li­che hat offen­bar Infor­ma­tio­nen aus öffent­li­chen Regi­stern bezo­gen und für ein kom­mer­zi­el­les Pro­dukt ver­wen­det. Die Ver­ar­bei­tung betraf rund 6 Mil­lio­nen Betroffene.

Der Ver­ant­wort­li­che infor­mier­te aber nur die­je­ni­gen rund 90’000 Per­so­nen aktiv, deren E‑Mail-Adre­s­­se er kann­te. Auf eine indi­vi­du­el­le Mit­tei­lung an die rest­li­chen Betrof­fe­nen – bspw. durch Brief an die Post­adres­se oder Tele­fon­an­ruf – hat der Ver­ant­wort­li­che aus Kosten­grün­den ver­zich­tet, und die Daten­schutz­er­klä­rung auf sei­ner Web­site wur­de als unge­nü­gend beur­teilt. Ins­be­son­de­re wäre der Ver­ant­wort­li­che laut Behör­de nicht ver­pflich­tet gewe­sen, eine Daten­schutz­er­klä­rung mit ein­ge­schrie­be­ner Post zu ver­sen­den, was der Ver­ant­wort­li­che gel­tend gemacht hatte.

Bei der Bemes­sung der Bus­se spiel­ten offen­bar fol­gen­de Fak­to­ren eine Rolle:

  • Der Vor­satz des Ver­ant­wort­li­chen, der sich sei­ner Infor­ma­ti­ons­pflicht bewusst war;
  • die Schwe­re des Ver­sto­sses, weil eine Ver­let­zung der Trans­pa­renz­pflicht (Art. 14 DSGVO) dazu führt, dass die Betrof­fe­nen ihre Rech­te nicht aus­üben können;
  • der Umstand, dass von den 90’000 infor­mier­ten Per­so­nen rund 12’000 der Bear­bei­tung wider­spra­chen, was die schlech­te Akzep­tanz der Ver­ar­bei­tung zeigt;
  • dass der Ver­ant­wort­li­che die intrans­pa­ren­te Ver­ar­bei­tung wäh­rend der Unter­su­chung nicht ein­stell­te und offen­bar auch nicht erklär­te, die Ver­let­zung unter­las­sen zu wollen.

Offen bleibt, ob eine Daten­schutz­er­klä­rung auf der Web­site genügt hät­te, hät­te der Ver­ant­wort­li­che nicht über die Adres­sen der Betrof­fe­nen verfügt.

AI-generierte Takeaways können falsch sein.