Erstes polnisches Bußgeld gegen eine öffentliche Einrichtung

Datum: 31.10.2019

Verantwortliche Stelle: Bürgermeister der polnischen Stadt Aleksandrów Kujawski

Art der Datenpanne: Fehlende Vereinbarung über Verarbeitung personenbezogener Daten

Erstes polnisches Bußgeld gegen eine öffentliche Einrichtung wurde vom Präsident des Amtes für den Schutz personenbezogener Daten gegen eine öffentliche Einrichtung verhängt. Das Datenschutz-Bußgeld beträgt 40.000 Zloty wegen Nichteinhaltung der DSGVO. Der genaue Grund für die Verhängung der Geldbuße war, dass der Bürgermeister der Stadt keine Vereinbarung über die Verarbeitung personenbezogener Daten mit den Stellen geschlossen hatte, an die er Daten übermittelt hatte.

Konkret geht es dabei, um ein Unternehmen, auf dessen Servern sich die Ressourcen des Public Information Bulletin (BIP) des Rathauses in Aleksandrów Kujawski befanden. Eine solche Vereinbarung wurde ebenfalls nicht mit einem anderen Unternehmen geschlossen, das Software zur Erstellung von BIP bereitstellte und in diesem Bereich Dienstleistungen erbrachte. Der Präsident des Amtes gelangte zu dem Schluss, dass gegen Artikel 28 Absatz 3 der DSGVO verstoßen wurde. Diese Bestimmung verpflichtet den für die Verarbeitung verantwortlichen, einen Auftragsverarbeitungsvertrag mit der Stelle abzuschließen, der die Verarbeitung personenbezogener Daten durchführt.

Infolge des Fehlens einer solchen Vereinbarung ist der der Bürgermeister dafür verantwortlich, dass personenbezogene Daten ohne Rechtsgrundlage weiter gegeben werden. Dies verstößt gegen den Grundsatz der Rechtmäßigkeit der Verarbeitung (Artikel 5 Absatz 1 Buchstabe a DSGVO) und gegen den Grundsatz von Integrität und Vertraulichkeit (Artikel 5 Absatz 1 Buchstabe f der DSGVO).

Während der Untersuchung wurde auch festgestellt, dass die aufgezeichneten Materialien der Stadtratssitzungen nur über einen Link zu einem dedizierten YouTube-Kanal im BIP verfügbar waren. Im Gemeindeamt gab es keine Sicherungskopien dieser Aufzeichnungen.  Für die Veröffentlichung von Aufzeichnungen von Verwaltungsratssitzungen ausschließlich auf YouTube wurde keine Risikoanalyse durchgeführt. Somit wurden die Grundsätze der Integrität und der Vertraulichkeit verletzt (Artikel 5 Absatz 1 Buchstabe f der DSGVO) sowie der Grundsatz der Rechenschaftspflicht (Artikel 5 Absatz 2 der DSGVO).

Der Grundsatz der Rechenschaftspflicht wurde auch im Zusammenhang mit den Mängeln im Register der Verarbeitungstätigkeiten verletzt. Beispielsweise wurden weder alle Datenempfänger noch das geplante Datum der Datenlöschung für bestimmte Verarbeitungstätigkeiten angegeben.

Bei der Verhängung des Bußgeldes wurde die Tatsache berücksichtigt, dass der für die Verarbeitung Verantwortliche, trotz der im Laufe des Verfahrens festgestellten Unregelmäßigkeiten, weder diese beseitigte noch Lösungen einführte, um künftigen Verstößen vorzubeugen. Der für die Verarbeitung Verantwortliche hat auch nicht mit der Aufsichtsbehörde zusammengearbeitet. Daher entschied der Präsident des Amtes, dass keine Milderung der Höhe der Geldbuße möglich sei.

Neben der Geldstrafe wies der Präsident des Amtes den für die Verarbeitung Verantwortlichen an, innerhalb von 60 Tagen Maßnahmen zur Behebung der Verstöße zu ergreifen.

Rechtsgrundlage: Artikel 5 der DSGVO

Bußgeld: 40.000 Zloty

Land: Polen

Quelle: European Data Protection Board

Zurück zur Übersicht der Datenpannen