Erstes polnisches Bußgeld gegen eine öffentliche Einrichtung

Date: 31.10.2019

Responsible body: Bürgermeister der polnischen Stadt Aleksandrów Kujawski

Art der Datenpanne: Fehlende Vereinbarung über Verarbeitung personenbezogener Daten

Erstes polnisches Bußgeld gegen eine öffentliche Einrichtung wurde vom Präsident des Amtes für den Schutz personal data gegen eine öffentliche Einrichtung verhängt. Das Datenschutz-Bußgeld beträgt 40.000 Zloty wegen Nichteinhaltung der GDPR. Der genaue Grund für die Verhängung der Geldbuße war, dass der Bürgermeister der Stadt keine Vereinbarung über die Verarbeitung personenbezogener Daten mit den Stellen geschlossen hatte, an die er Daten übermittelt hatte.

Konkret geht es dabei, um ein Unternehmen, auf dessen Servern sich die Ressourcen des Public Information Bulletin (BIP) des Rathauses in Aleksandrów Kujawski befanden. Eine solche Vereinbarung wurde ebenfalls nicht mit einem anderen Unternehmen geschlossen, das Software zur Erstellung von BIP bereitstellte und in diesem Bereich Dienstleistungen erbrachte. Der Präsident des Amtes gelangte zu dem Schluss, dass gegen Article 28 Absatz 3 der DSGVO verstoßen wurde. Diese Bestimmung verpflichtet den für die Verarbeitung verantwortlichen, einen Auftragsverarbeitungsvertrag mit der Stelle abzuschließen, der die Verarbeitung personenbezogener Daten durchführt.

Infolge des Fehlens einer solchen Vereinbarung ist der der Bürgermeister dafür verantwortlich, dass personenbezogene Daten ohne Rechtsgrundlage weiter gegeben werden. Dies verstößt gegen den Grundsatz der Rechtmäßigkeit der Verarbeitung (Article 5 Absatz 1 Buchstabe a DSGVO) und gegen den Grundsatz von Integrität und Vertraulichkeit (Article 5 paragraph 1(f) of the GDPR).

Während der Untersuchung wurde auch festgestellt, dass die aufgezeichneten Materialien der Stadtratssitzungen nur über einen Link zu einem dedizierten YouTube-Kanal im BIP verfügbar waren. Im Gemeindeamt gab es keine Sicherungskopien dieser Aufzeichnungen.  Für die Veröffentlichung von Aufzeichnungen von Verwaltungsratssitzungen ausschließlich auf YouTube wurde keine Risikoanalyse durchgeführt. Somit wurden die Grundsätze der Integrität und der Vertraulichkeit verletzt (Article 5 paragraph 1 letter f of the GDPR) and the principle of accountability (Article 5 paragraph 2 of the GDPR).

Der Grundsatz der Rechenschaftspflicht wurde auch im Zusammenhang mit den Mängeln im Register der Verarbeitungstätigkeiten verletzt. Beispielsweise wurden weder alle Datenempfänger noch das geplante Datum der Datenlöschung für bestimmte Verarbeitungstätigkeiten angegeben.

Bei der Verhängung des Bußgeldes wurde die Tatsache berücksichtigt, dass der für die Verarbeitung Verantwortliche, trotz der im Laufe des Verfahrens festgestellten Unregelmäßigkeiten, weder diese beseitigte noch Lösungen einführte, um künftigen Verstößen vorzubeugen. Der für die Verarbeitung Verantwortliche hat auch nicht mit der Aufsichtsbehörde zusammengearbeitet. Daher entschied der Präsident des Amtes, dass keine Milderung der Höhe der Geldbuße möglich sei.

Neben der Geldstrafe wies der Präsident des Amtes den für die Verarbeitung Verantwortlichen an, innerhalb von 60 Tagen Maßnahmen zur Behebung der Verstöße zu ergreifen.

Legal basis: Article 5 the GDPR

Bußgeld: 40,000 zloty

Country: Poland

Source: European Data Protection Board

Zurück zur Übersicht der Datenpannen