Das Provinzverwaltungsgericht Warschau (Urt. v. 11.12.2019 - Az.: II SA / Wa 1030 / 19) hat das gegen die Auskunft Bisnode Polska verhängte DSGVO-Bußgeld iHv. 220.000,- aufgehoben.
Die polnische Datenschutzbehörde (UODO) hatte wegen der Nichteinhaltung der nach Art. 14 DSGVO vorgesehenen Informationspflichten bei Verwendung von Daten aus öffentlich zugänglichen Quellen ein Bußgeld iHv. ca. 220.000,- EUR verhängt. Das betroffene Unternehmen, die Bisnode Polska, war die nationale Tochter der weltweit tätigen Firma Bisnode AB. Bisnode war ein großer Anbieter für digitale Wirtschaftsinformationen und stellt vor allem Kreditauskünfte und sonstige Informationen über Unternehmen zur Verfügung.
Wir hatten über den Fall ausführlich in unseren News v. 04.04.2019 berichtet.
Streitpunkt war dabei insbesondere, dass Bisnode Polska ca. 6 Mio. Datensätze aus öffentlich zugänglichen Quellen verarbeitete, einschließlich aus dem Zentralregister und Informationen über die Wirtschaftstätigkeit (CEiDG). Bei sämtlichen Betroffenen handelte es sich um Unternehmer, Verbraucherdaten waren nicht betroffen. Bisnode Polska informierte nicht sämtliche 6 Mio. Betroffene, sondern benachrichtigte nur ca. 680.000 Personen, von denen eine E-Mail-Adresse vorlag, auf elektronischem Wege. Alle anderen Personen erhielten keine Nachricht.
Bisnode Polska stufte eine Benachrichtigung per Briefpost oder Telefon als unverhältnismäßig ein und sah von der Erfüllung der Informationspflicht nach Art. 14 DSGVO ab, veröffentlichte aber eine entsprechende Nachricht auf der eigenen Webseite.
Nun hat das Gericht das vom UODO verhängte Bußgeld aufgrund von Verfahrensfehlern aufgehoben. Die Höhe des Bußgeldes werde nämlich maßgeblich durch die konkrete Anzahl der betroffenen Datensätze bestimmt. Hierzu habe das Amt aber keine nachprüfbaren Belege vorgelegt, sondern sei einfach von 6 Mio. betroffenen Daten ausgegangen, was Bisnode Polska aber bestritten habe. Es fehlten daher wichtige Ausführungen.
Insbesondere sei es fehlerhaft, die Höhe des Bußgeldes mit allgemeinen, generalpräventiven Erwägungen zu begründen. Art. 58 DSGVO bestimme ausdrücklich, dass ein verhängtes Bußgeld mit dem konkret festgestellten Sachverhalt in Verbindung stehen müsse. Eine generelle Abschreckungswirkung sei kein tauglicher Rechtsgrund.
Die polnische Datenschutzbehörde hat bereits angekündigt, das Bußgeld in einem neuen Verwaltungsverfahren zu überarbeiten.
Das Gericht beantwortete auch die Frage, ob Bisnode Polska nun die Betroffenen hätte informieren müssen oder nicht. Es stellt sich auf den Standpunkt, dass die hohen Kosten für den Versand dieser Informationen per Post nicht bedeuten könnten, dass ein unverhältnismäßiger Aufwand vorliege.