Im Januar 2022 erließ die PUODO eine Entscheidung, in der sie eine Verwaltungsstrafe sowohl für einen Controller (Fortum Marketing and Sales SA) als auch für einen Auftragsverarbeiter (Pika sp. z o.o.) verhängte. Der Controller wurde mit einer Geldstrafe von über 4.900.000 PLN (rund 1.050.000 EUR) belegt – der höchsten Geldbuße, die das PUODO bisher verhängt hat – und dem Auftragsverarbeiter wurde eine Geldstrafe von über 250.000 PLN (rund 53.000 EUR) auferlegt. Diese Entscheidung ist sowohl für Controller als auch für Auftragsverarbeiter wichtig.

Die PUODO leitete ein Verwaltungsverfahren ein, nachdem der Verantwortliche eine Benachrichtigung über einen Verstoß gegen den Schutz personenbezogener Daten erhalten hatte. Personenbezogene Daten der Kunden des Controllers wurden von unbefugten Personen kopiert, als der Auftragsverarbeiter Änderungen im IT-System vorgenommen hat. Die PUODO stellte fest, dass die Änderungen im IT-System und das Kopieren der personenbezogenen Daten vom Auftragsverarbeiter vorgenommen wurden, ohne den Controller zu informieren.

Die Erkenntnisse der PUODO umfassten:

  • Verletzung von Art. 5 Abs. 1 lit. F, Art. 24 Abs. 1 und Art. 32 Abs. 1 RODO durch den Verantwortlichen durch die Nichtumsetzung geeigneter technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten, die zu einer Datenschutzverletzung geführt haben,
  • Verletzung von Art. 28 Abs. 1 RODO durch den Controller, indem er nicht überprüft hat, ob der Auftragsverarbeiter ausreichende Garantien zur Umsetzung geeigneter Maßnahmen gegeben hat, damit die Verarbeitung den Anforderungen der RODO entspricht,
  • Verletzung des Artikels 32 Absatz 1 RODO durch den Auftragsverarbeiter durch Nichtumsetzung geeigneter technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit personenbezogener Daten, einschließlich der Vertraulichkeit der Daten,
  • dass der Controller nicht von den Verpflichtungen zur Gewährleistung der Sicherheit personenbezogener Daten befreit wird, wenn er einen Auftragsverarbeiter beauftragt,
  • dass der Controller keine Prüfungen des Auftragsverarbeiters nach Art. 28 Abs. 3 lit. H RODO durchgeführt hat, obwohl dies eine der wichtigsten Sicherheitsmaßnahmen ist und mit der Verpflichtung zur Prüfung des Auftragsverarbeiters nach Art. 28 Abs. 1 RODO in Zusammenhang steht.

Unser Kommentar

Diese Entscheidung ist sehr wichtig, da sie zeigt, wie entscheidend es für den Controller ist, die Verpflichtung nach Artikel 28 Absatz 1 RODO zu erfüllen, d. h. zu überprüfen, ob der Auftragsverarbeiter ausreichende Garantien bietet, um angemessene technische und organisatorische Maßnahmen umzusetzen, damit die Verarbeitung den Anforderungen der RODO entspricht. Die PUODO unterstrich auch die Bedeutung der Überwachung von Auftragsverarbeiter.