Informationspflicht aus Art. 14 DSGVO
Art. 13 und 14 DSGVO regeln die Informationspflichten des Verantwortlichen gegenüber der betroffenen Person, wenn es zur Erhebung personenbezogener Daten kommt. Dabei ist es unerheblich, ob die Erhebung unmittelbar bei der betroffenen Person oder auf sonstige Weise (durch Dritte) geschieht. In jedem Fall ist die betroffene Person zu informieren. Im Falle nur mittelbarer Erhebung richtet sich dies nach Art. 14 DSGVO. Der Verantwortliche muss der betroffenen Person dann unter anderem das Folgende mitteilen:
seinen Namen und seine Kontaktdaten;
die Zwecke der Verarbeitung;
die Rechtsgrundlage der Verarbeitung;
die Kategorien personenbezogener Daten, welche verarbeitet werden.
Verletzung der Informationspflicht
Bußgeldadressat war hier ein Unternehmen, welches (personenbezogene) Daten aus öffentlichen Quellen wie dem elektronischen Zentralregister in einer Datenbank sammelt und zu kommerziellen Zwecken verarbeitet. Gegenüber einigen der von der Verarbeitung betroffenen Personen erfüllte das Unternehmen die vorgenannte Informationspflicht, indem es per E-Mail die entsprechenden Erklärungen übermittelte.
Da dem Unternehmen aber von einer Vielzahl der insgesamt etwa 6 Millionen betroffenen Personen jedoch keine E-Mail-Adressen vorlagen, hätte es diese postalisch unterrichten müssen.
Aus Kostengründen verzichtete das Unternehmen allerdings hierauf.
Die UODO erkannte hierin einen Verstoß gegen Art. 14 DSGVO.
Gegen den vorgeworfenen Verstoß führte das Unternehmen die Ausnahmeregelung des Art. 14 Abs. 5 lit. b Halbs. 1 DSGVO ins Feld. Hiernach ist die Information der betroffenen Person(en) ausnahmsweise entbehrlich, wenn sich deren Erteilung als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde. Die UODO verwies jedoch auf ihre Ansicht, dass eine Informationserteilung an die betroffenen Personen nur dann unterbleiben darf, wenn jegliche Kontaktadressen der betroffenen Personen fehlen. Dies sei vorliegend gerade nicht der Fall und eine Information möglich gewesen. Sie rügte zudem die Vorsätzlichkeit der Verletzungshandlung sowie eine unzureichende Kooperation des Bußgeldadressaten mit der Behörde. Das Unternehmen hat rechtliche Schritte gegen den Bußgeldbescheid in Aussicht gestellt.
Folgen für die Praxis
Die Begründung der UODO, eine Information sei möglich gewesen, ist nicht gänzlich überzeugend. Art. 14 Abs. 5 lit. b Halbs. 1 DSGVO spricht nicht nur von der Unmöglichkeit, sondern auch von der Unverhältnismäßigkeit. Die Literatur nimmt an, dass ein unverhältnismäßiger Aufwand besteht, wenn eine große Vielzahl von Personen betroffen ist, jeder von ihnen durch die Verarbeitung aber nur eine geringfügige Beeinträchtigung droht. Dies soll zum Beispiel der Fall sein, wenn – wie vorliegend – der Verantwortliche die Daten aus allgemein zugänglichen Quellen entnimmt. Dass die Anzahl der Personen in diesem Zusammenhang zu beachten ist, ergibt sich zudem schon aus Erwägungsgrund 62 Satz 3 zur DSGVO. Es bleibt daher abzuwarten, ob die Entscheidung der UODO Bestand haben wird.
Eine Botschaft darf man dem Bußgeldbescheid der polnischen Datenschutzbehörde jedoch entnehmen – wie schon im Fall „Knuddels“ (wir berichteten hier) war auch in diesem Fall die Kooperationsbereitschaft des Unternehmens ein ausschlaggebender Faktor bei der Festsetzung der konkreten Bußgeldhöhe. Es zeigt sich, dass die zielgerichtete Zusammenarbeit mit den Behörden bei Aufklärung und Behebung etwaiger Verstöße drohende Bußgelder erheblich abmildern kann.