Die polnische Datenschutzbehörde (UODO) hat wegen der Nichteinhaltung der nach Art. 14 DSGVO vorgesehenen Informationspflichten bei Verwendung von Daten aus öffentlich zugänglichen Quellen ein Bußgeld iHv. ca. 220.000,- EUR verhängt.
Das betroffene Unternehmen, die Bisnode Polska, ist die nationale Tochter der weltweit tätigen Firma Bisnode AB. Bisnode ist ein großer Anbieter für digitale Wirtschaftsinformationen und stellt vor allem Kreditauskünfte und sonstige Informationen über Unternehmen zur Verfügung. Der Unternehmensverbund erwirtschaftete 2017 einen Umsatz von ca. 3,6 Milliarden Schwedischen Kronen.
Die Bisnode Polska verarbeitete ca. 6 Mio. Datensätz aus öffentlich zugänglichen Quellen, einschließlich aus dem Zentralregister und Informationen über die Wirtschaftstätigkeit (CEiDG). Bei sämtlichen Betroffenen handelte es sich um Unternehmer, Verbraucherdaten waren nicht betroffen.
Bisnode Polska informierte nicht sämtliche 6 Mio. Betroffene, sondern benachrichtete nur ca. 680.000 Personen, von denen eine E-Mail-Adresse vorlag, auf elektronischem Wege. Alle anderen Personen erhielten keine Nachricht. Bisnode Polska stufte eine Benachrichtigung per Briefpost oder Telefon als unverhältnismäßig ein und sah von der Erfüllung der Informationspflicht nach Art. 14 DSGVO ab, veröffentlichte aber eine entsprechende Nachricht auf der eigenen Webseite. Das Unternehmen berief sich dabei auf Art. 14 Abs.5 DSGVO, der bei Unverhältnismäßigkeit eine Ausnahme vorsieht.
Die Norm lautet:
Art. 14 DSGVO: Informationspflichten
...
(5) Die Absätze 1 bis 4 finden keine Anwendung, wenn und soweit (...) die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde; (...)"
Die polnische Datenschutzbehörde (UODO) ließ dieses Argument nicht gelten. In ihrer Stellungnahme schreibt die Aufsicht, dass das Unternehmen verpflichtet gewesen sei, auch die anderen knapp 6 MIo. Betroffenen zu informieren. Dies hätte per Briefpost oder telefonisch erfolgen können:
"In the opinion of the President of the Personal Data Protection Office, such action was insufficient – while having the contact data to particular persons, the controller should have fulfilled the information obligation in relation to them, that is it should have informed them inter alia on: their data, the source of their data, the purpose and the period of the planned data processing, as well as the data subjects’ rights under the GDPR.
In the opinion of the UODO’s President, the provisions do not impose an obligation on the controller to send such correspondence by registered mail, which was raised by the company as an excuse for not fulfilling an expensive obligation.
In the relevant case, the entity had postal addresses and telephone numbers and could therefore comply with the obligation to provide information to the persons whose data are being processed."
Die Behörde stufte das Handeln des Unternehmens als vorsätzlich ein und verhängt daher ein Bußgeld iHv. ca. 220.000,- EUR:
"The President of the Personal Data Protection Office found that the infringement of the controller was intentional, because - as it was established during the proceedings - the company was aware of the obligation to provide relevant information, as well as the need to directly inform persons."
Bisnode Polska hat auf ihrer Webseite eine entsprechende Stellungnahme veröffentlicht und angekündigt, sich gegen die Maßnahme der Behörde gerichtlich zu wehren.
Anmerkung von RA Dr. Bahr:
Es war nur eine Frage der Zeit, bis sich dieses Problem in der Praxis stellt und Gegenstand einer gerichtlichen Auseinandersetzung wird.
Das neue Datenschutzrecht verlangt in Art. 13, 14 DSGVO in erheblichem Umfang absolut überzogene und praxisuntaugliche Informationspflichten. Zahlreiche Beispiele wurden bereits in der Vergangenheit breit diskutiert. Die beiden prominentesten Beispiele sind die Info-Pflichten bei Übergabe von Visitenkarten und beim Anruf eines Patienten beim Arzt zur Terminabstimmung. Hier zeigt sich, dass die DSGVO weit, weit über den ursprünglich legitimen Zweck hinausschießt. Bis heute gibt es - auf Basis des DSGVO-Wortlautes - für viele Fälle aus der Praxis keine rechtskonformen und zugleich alltagstaugliche Lösungen.
Sollte sich die Rechtsansicht der Behörde durchsetzen, wäre dies das faktische Ende jeder Wirtschaftsauskunftei, die Daten aus öffentlich zugänglichen Quellen erhebt. Denn das Verlangen der Behörde ist aus mehreren Gründen nicht erfüllbar.
Zum einen scheitert es bereits an den wirtschaftlichen Gegebenheiten. Denn die Kosten für die postalische Benachrichtigung der 6 Mio. Betroffenen dürfte locker im siebenstelligen EUR-Bereich liegen und damit in keiner Weise mehr wirtschaftlich angemessen sein. Wenn dies keinen Fall von "unverhältnismäßigem Aufwand" darstellt: Was soll sonst darunter fallen?
Zum anderen stellt sich auch die Frage, ob eine Benachrichtigung per E-Mail oder Telefon (wie von der Behörde verlangt) wettbewerbs- und zivilrechtlich zulässig ist. Dies würde nämlich bedeuten, dass das Unternehmen befugt wäre, ungefragt elektronische Nachrichten an die Betroffenen zu versenden bzw. diese ohne vorherige Erlaubnis anzurufen. Dies wird man wohl eher verneinen müssen, denn Art. 14 DSGVO stellt sicherlich ausreichende keine gesetzliche Rechtsgrundlage für solche Handlungen da.
Die Behörde verkennt grundlegend, dass die Daten nur Unternehmer betreffen und zudem auch noch aus allgemein zugänglichen Quellen stammen. Es erschließt sich noch nicht einmal im Ansatz, welche Schutzbedürftigkeit hier besteht, die Betroffenen über die Speicherung zu informieren, wenn die Daten für Gott und die Welt frei zugänglich publiziert werden.
Es ist mehr als erfreulich, dass sich Bisnode Polska gegen diese ungerechtfertige Behördenmaßnahme gerichtlich wehren wird. Alles andere wäre nämlich der Anfang vom Ende von Wirtschaftsauskunfteien und des gewerblichen Adresshandels.
Es kann nur als verfrühter April-Scherz aufgefasst werden, wenn die Behörde sogar noch ausführt, dass sie nichts Unmögliches verlange, da sie die Benachrichtigung mittels eingeschriebenen Postbrief ja gar nicht verlange:
"In the opinion of the UODO’s President, the provisions do not impose an obligation on the controller to send such correspondence by registered mail, which was raised by the company as an excuse for not fulfilling an expensive obligation."