• Startseite
  • Datenschutz
  • Case Study zur Verletzung der DSGVO #3 – kann ein Verantwortlicher seine Pflichten auf Arbeitnehmer übertragen?

Case Study zur Verletzung der DSGVO #3 – kann ein Verantwortlicher seine Pflichten auf Arbeitnehmer übertragen?

Ein Arbeitnehmer kann einen Verantwortlichen nicht bei der Erfüllung seiner Aufgaben aus der Datenschutzgrundverordnung (DSGVO) ersetzen, so das Woiwodschaftsverwaltungsgericht Warschau. Das Gericht hat die Entscheidung der Datenschutzbehörde aufrechterhalten, die dem Präsidenten des Amtsgerichts Zgierz eine Strafe in Höhe von 10 000 PLN auferlegt hatte. Grund der Entscheidung war, dass ein Bewährungshelfer einen Pendrive mit nicht verschlüsselten persönlichen Daten verloren hatte.

Zur Sache

Az. II SA/Wa 3309/21
Datum: 15. Februar 2022
Organ: Woiwodschaftsverwaltungsgericht Warschau
Verantwortlicher: Präsident des Amtsgerichts Zgierz
Höhe der Strafe: 10 000 PLN

Was ist passiert? – der verloren gegangene Pendrive

Ein Bewährungshelfer, der Arbeitnehmer des Amtsgerichts Zgierz (im Weiteren „Verantwortlicher“) ist, hat einen Pendrive mit nicht verschlüsselten Daten von 400 Personen verloren, die der Bewährungsaufsicht unterliegen. Die Daten umfassten ihre Vor- und Nachnamen, Geburtsdaten, Adressen bzw. Aufenthaltsorte, PESEL-Nummern (Anm. persönliche Identifikationsnummer, die in Polen gemeldete Personen automatisch erhalten), Daten zu Verdienst oder Vermögen, Personalausweisnummer, Telefonnummern, sowie Daten zum Gesundheitszustand und Urteilen.

Welche Pflichten aus der DSGVO wurden verletzt?

Die Verletzung der DSGVO durch den Verantwortlichen besteht darin, dass er es versäumt hat, entsprechende technische und organisatorische Vorkehrungen zu treffen, die einen gewissen Sicherheitsstandard der gespeicherten Daten bieten. Diese Vorkehrungen müssen unter anderem vor einem unbefugten Zugriff, einer rechtswidrigen Nutzung der Daten sowie zufälligem Verlust, Vernichtung oder Beschädigung schützen.

Was besagt die Entscheidung der Datenschutzbehörde?

  • Verantwortlicher für die Verarbeitung der Daten auf dem genannten Pendrive ist der Präsident des Amtsgerichts.
  • Der Verantwortliche hat durch die Herausgabe des Pendrives an gerichtliche Bewährungshelfer und dadurch, dass er diesen die Sicherung der Daten überlassen hat, die Vorschriften der DSGVO verletzt.
  • Ein großes Spektrum personenbezogener Daten kann im Falle einer Datenschutzverletzung zu weitreichenden Folgen für die betroffenen Personen führen.
  • Ein Arbeitnehmer kann den Verantwortlichen bei der Erfüllung seiner Aufgaben gemäß der DSGVO nicht ersetzen.
  • Die vorgestellte Risikoanalyse wurde nicht ordnungsgemäß durchgeführt, da keine adäquaten Konsequenzen von Datenschutzverletzungen für natürliche Personen sowie unangebrachte Sicherungsmaßnahmen angegeben wurden, da es sich lediglich um organisatorische und nicht technische Mittel handelt.
  • Der Verantwortliche hat regelmäßig die Wirksamkeit der angewandten Mittel zu prüfen.

Wie hat das Gericht entschieden? Zur Delegation von Pflichten aus der DSGVO

  • Die eingeschränkte Anwendung von Sicherungsmaßnahmen durch den Verantwortlichen ausschließlich zu Schulungszwecken und ohne Einführung technischer Maßnahmen kann mit Sicherheit nicht als Anwendung adäquater technischer und organisatorischer Maßnahmen angesehen werden.
  • Ein Arbeitnehmer kann den Verantwortlichen nicht bei der Erfüllung seiner Aufgaben nach der DSGVO ersetzen. Darüber hinaus kann ein Arbeitnehmer nicht über das entsprechende Wissen verfügen, die Pflicht zur Datensicherung ignorieren oder eine inadäquate Sicherungsmaßnahme ergreifen.
  • Der Verantwortliche, nicht jedoch ein Arbeitnehmer oder eine andere Person, die dienstliche Weisungen ausführt, ist verpflichtet, angemessene technische und organisatorische Maßnahmen zu ergreifen, damit die Datenverarbeitung im Einklang mit der DSGVO erfolgt.
  • Eine verwaltungsrechtliche Geldbuße hat in diesen Fällen einerseits eine repressive Funktion, da sie eine Antwort auf die Verletzung der DSGVO durch den Verantwortlichen darstellt, aber andererseits auch eine Präventionsfunktion, da sie in der Zukunft der Verletzung von Pflichten durch den Verantwortlichen vorbeugt, sowohl bei der Datenverarbeitung durch den Präsidenten des Amtsgerichts als auch im Verhältnis zu Personen, die in seinem Auftrag handeln.