Im Juni 2025 wurde eine erwähnenswerte Entscheidung der polnischen Datenschutz-Aufsichtsbehörde veröffentlicht. Diese verhängte im Nachgang einer gemeldeten Datenschutzverletzung ein Bußgeld in Höhe von 4,02 Millionen Euro gegen das Unternehmen McDonald’s Polska sowie ein Bußgeld in Höhe von 43.680 Euro gegen den eingesetzten Auftragsverarbeiter 24/7 Communication.

Was war geschehen?

Der Fall nahm bereits im Jahr 2019 seinen Anfang. Die Datenschutzverletzung bestand darin, dass auf Grund eines technischen Fehlers durch eine fehlerhafte Konfiguration eines Servers diverse personenbezogene Daten von Beschäftigten und Franchisenehmern in einer gemeinsamen Datei öffentlich zugänglich waren, wie z. B. die Namen, die Identifikations-/Passnummern und die die Arbeits- und Urlaubszeiten der Personen. Bei der Aufklärung des Sachverhalts stellte sich u. a. heraus, dass allein der Auftragsverarbeiter den Zugriff auf diesen Server hatte und McDonald’s als Verantwortlicher den Prozess vollständig vertraglich wie auch organisatorisch an den externen Dienstleister abgegeben hatte.

Trotz dieses recht eindeutigen Vorfalls lassen sich dem Verfahren der polnischen Aufsichtsbehörde einige interessante Informationen entnehmen, die von größerer Bedeutung für die Praxis sein könnten:

So wurde u. a. festgestellt, dass ungeachtet dieses Konzepts auch weiterhin der Verantwortliche, neben dem Auftragsverarbeiter, angemessene technische und organisatorische Maßnahmen (TOMs) gemäß Art. 32 DSGVO zu treffen hätte. Diese sei keine einmalige Maßnahme, sondern verlange als Prozess die ständige Überprüfung und Aktualisierung der Maßnahmen.

Gleichzeitig wurde kritisiert, dass keine Messung und Bewertung der Maßnahmen erfolgt war. Es sei keine Risikoanalyse vorgenommen worden. Inspektionen oder Audits seien nicht erfolgt. Auch habe sich der Auftragsverarbeiter nicht in der Pflicht gesehen, ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten. Wie die Aufsichtsbehörde bestätigt, sei dieses aber eine gesetzliche Pflicht, die auch nicht durch eine entsprechende Regelung im Auftragsverarbeitungsvertrag (AV-Vertrag) ausgeschlossen werden könne.

Ferner wurde im Rahmen der Prüfung erkannt, dass es an einem weiteren AV-Vertrag mit dem von Auftragsverarbeiter als Unterauftragnehmer eingesetzten Dienstleister fehle. Dabei habe hierzu bereits aus dem AV-Vertrag mit dem Verantwortlichen (McDonald’s) eine Pflicht bestanden. Aber auch ganz generell ergibt sich aus Art. 28 Abs. 2 DSGVO diese Rechtslage.

Zudem wurde festgestellt, dass der Verantwortliche und der Auftragsverarbeiter den Datenschutzbeauftragten nicht in alle Angelegenheiten im Zusammenhang mit dem Schutz personenbezogener Daten einbezogen haben, was einem Verstoß gegen Art. 38 Abs. 1 DSGVO darstellt. So sei der Datenschutzbeauftragte von McDonald’s nicht in die Analyse der Qualifikation und Eignung des Auftragsverarbeiters sowie der konkreten Datenverarbeitung einbezogen worden.

Fazit

Alles in allem zeigt diese Entscheidung abermals, welche Rechte und Pflichten sich aus der Auftragsverarbeitung ergeben und inwiefern der Verantwortliche nicht nur bei der Auswahl, sondern auch regelmäßig die eingesetzten Auftragsverarbeiter kontrollieren bzw. „überwachen“ sollte bzw. muss (wir berichteten). Das kann durch ein nachweisbares Audit erfolgen. Diese Pflichten beziehen sich auch auf die TOMs, die von beiden Seiten zu treffen bzw. zu prüfen sind – und nicht vertraglich ausgeschlossen werden können. Bei dieser Überprüfung sollte auch der Datenschutzbeauftragte einbezogen werden, um Risiken zu reduzieren und den formellen Anforderungen aus der DSGVO gerecht zu werden (siehe Art. 38 DSGVO).

Auch der Auftragsverarbeiter muss eigene, angemessene TOMs treffen und auch die weiteren Vorgaben aus der DSGVO direkt und selbst sicherstellen, insbesondere bei einer Kette der Datenverarbeitung.

Zuletzt dürfte mit diesem Verfahren auch deutlich geworden sein, dass nach einer gemeldeten Datenschutzverletzung auch diese Anschlussfragen relevant werden können, d. h. eine Überprüfung durch die Aufsichtsbehörde auch doch zu einem Bußgeldverfahren führen kann – und zwar theoretisch für alle Parteien der Auftragsverarbeitung.

| | | , , , | 1 Kommentar