Case Study zur Verletzung der DSGVO #2- Auftragsverarbeitungsvertrag

Verwenden Sie als Verantwortlicher einen Auftragsverarbeitungsvertrag (AV-Vertrag), der mit den Vorschriften der Datenschutzgrundverordnung (DSGVO) übereinstimmt? Informieren Sie Arbeitnehmer, die Sie im Vertrag als Kontaktpersonen angegeben haben über die Pflichten, die sich daraus ergeben? Das Woiwodschaftsverwaltungsgericht Warschau hat die Entscheidung des Präsidenten der Datenschutzbehörde aufrechterhalten, der der NAGS eine Geldstrafe in Höhe von 100 000 PLN auferlegt hat.

Zur Sache

• Aktenzeichen II SA/Wa 1384/21
• Datum: 26. Januar 2022
• Organ: Woiwodschaftsverwaltungsgericht
• Verantwortlicher: Nationale Ausbildungsstätte für Gerichte und Staatsanwaltschaften („NAGS“)
• Höhe der Geldstrafe: 100 000 PLN
• Entscheidung der Datenschutzbehörde: DKN.5130.2024.2020 vom 11. Februar 2021

Was ist passiert? – Datenleck in der Schulungsplattform

Die NAGS wurde durch die Polizeibehörde darauf aufmerksam gemacht, dass im Internet personenbezogene Daten in Verbindung mit der Domäne kssip.gov.pl (Domäne der NAGS) offengelegt wurden. Die Verletzung betraf Daten aus der Datenbank der Seite szkolenia.kssip.gov.pl, die bei der Übertragung der Daten auf die neue Schulungsplattform ekssip.kssip.gov.pl entstanden war. Sie umfasste die Daten von 50 283 Personen und die folgenden Kategorien : Vor- und Nachname, E-Mail-Adresse, Benutzernamen, Telefonnummer, Einheit, Abteilung, Adresse der Einheit, Ort, technische Daten: IP-Adresse, Datum des ersten und letzten Log-ins, Passwort (verschlüsselt) sowie PESEL-Nummern (Anm. Identifikationsnummer, die jede in Polen gemeldete Person erhält).

Verletzung der Pflichten aus der DSGVO

Der Verantwortliche hat seine Pflichten durch folgendes Verhalten bzw. Unterlassen verletzt:

  • Fehlender Einsatz entsprechender technischer und organisatorischer Mittel, die die Vertraulichkeit der Verarbeitung von Daten sicherstellen sollen.
  • Fehlende Tests sowie Bewertung der Wirksamkeit der technischen und organisatorischen Mittel, die die Sicherheit der persönlichen Daten gewähren soll, die sich auf der Kopie der Database der Schulungsplattform der NAGS befinden, sowie falsche Einschätzung des Risikos, das sich aus den Veränderungen des Verarbeitungsprozesses ergibt.
  • Beauftragung eines Auftragsverarbeiters mit der Datenverarbeitung unter Verletzung von Art. 28 Abs. 3 DSGVO, d.h. ohne vertragliche Verpflichtung des Auftragsverarbeiters und ausschließlich aufgrund einer dokumentierten Weisung des Verantwortlichen, ohne Festlegung der Personenkategorien im AV-Vertrag sowie ohne Präzisierung der Art der verarbeiteten Daten durch Angabe einer Kategorie.

Was besagt die Entscheidung der Datenschutzbehörde?

  • Der Auftragsverarbeitungsvertrag (AV-Vertrag) mit der Gesellschaft e. Sp. z o.o. ist in den folgenden Bereichen unzureichend:
    • Er präzisiert nicht hinreichend den Umfang der Daten – die NAGS hat es unterlassen, die Kategorien betroffener Personen sowie die Art der personenbezogenen Daten durch Festlegung von Kategorien anzugeben.
    • Der Vertrag verpflichtet den Auftragsverarbeiter nur unzureichend zur Verarbeitung von Daten aufgrund dokumentierter Weisung des Verantwortlichen.
    • Der AV-Vertrag muss mindestens allgemeine Formulierungen enthalten, die den Dritten zur Verarbeitung von Daten ausschließlich aufgrund dokumentierter Weisung des Verantwortlichen verpflichten.
  • In den o.g. AV-Verträgen wird darauf hingewiesen, dass die personenbezogenen Daten ausschließlich zur Erfüllung des Hauptvertrages verarbeitet werden, d.h. zur Erbringung von Hosting-Leistungen in Bezug auf die Website und die Schulungsplattform durch die e. Sp. z o.o. auf hierzu vorgesehenen Servern, sowie dem Hosting des E-Mail-Postfachs wie auch der vollumfänglichen verwaltungstechnischen Betreuung der genannten Server gemäß dem Hauptvertrag. Trotz dieser Bestimmungen wurden über den Vertrag hinausgehende Leistungen verlangt.
  • Sämtliche Änderungen des Datenverarbeitungsprozesses belasten den Verantwortlichen besonders mit Risiken, die sich aufgrund der oben genannten Pflichtverletzungen materialisiert haben. Verantwortliche sollten besonderen Wert auf die Sicherung personenbezogener Daten auf jeder Etappe des Verarbeitungsprozesses legen.
  • Es ist die Pflicht eines jeden Verantwortlichen, einen Weg zu wählen, der die angemessene Absicherung des Auftragsverarbeiters garantiert.