• Startseite
  • Datenschutz
  • Neueste Entscheidungen der Datenschutzbehörde UODO– Leitlinien, Schlussfolgerungen und Handlungsvorschläge

Neueste Entscheidungen der Datenschutzbehörde UODO– Leitlinien, Schlussfolgerungen und Handlungsvorschläge

Die polnische Datenschutzbehörde UODO (poln. Urząd Ochrony Danych Osobowych) ist über den Sommer nicht untätig geblieben. Nach den viel diskutierten Strafrekorden der vergangenen Monate (Polnische Post – 7,5 Mio. EUR; Minister für Digitalisierung –25.000 EUR, also der Höchstbetrag für den öffentlichen Sektor) sehen wir nun eine Fortsetzung: Entscheidungen über Veröffentlichungen in sozialen Medien, Ransomware-Angriffe und übermäßiges Kopieren von Ausweisdokumenten

Derartige Gedlbußen werden verhängt, wenn ein Handeln nicht mit Datenschutzvorschriften vereinbar ist.

Wir haben vier Entscheidungen analysiert, in denen Geldbußen verhängt wurden,  um die Erwartungen der UODO an die Praxis genauer zu bestimmen. Wir weisen auch auf konkrete Maßnahmen hin, die ergriffen werden müssen, um Sanktionen der Aufsichtsbehörde zu vermeiden.

Die häufigsten Fehler, die wir in der Praxis beobachten

1. Sicherheit „auf dem Papier”

Unternehmen erklären, dass sie Sicherheitstests durchführen, aber „die oben genannten Maßnahmen wurden nicht archiviert, es wurden keine Kopien der Berichte über die durchgeführten Maßnahmen erstellt

Die UODO verlangt Beweise, keine Erklärungen. Häufige Probleme sind:

o    fehlende Dokumentation von Wiederherstellungstests

o    Backup-Verfahren ohne Überprüfung der Wirksamkeit

o    Risikoanalysen, die aus Vorlagen kopiert wurden, ohne an die Besonderheiten der Organisation angepasst zu sein

o    Sicherheitsmaßnahmen, die „für alle Fälle” ohne Bewertung der Verhältnismäßigkeit umgesetzt wurden

2. Falsche Auslegung der Rechtsgrundlagen

Die Veröffentlichung der Daten „war nicht beabsichtigt, diente keinem konkreten, vom Verantwortlichen festgelegten Zweck, und es wurde auch nicht versucht, die Maßnahmen auf eine der Voraussetzungen für die Zulässigkeit der Verarbeitung personenbezogener Daten zu stützen”.

Unternehmen neigen häufig dazu:

o    „öffentliches Interesse” mit Rechtsgrundlage zu verwechseln,

o    anzunehmen, dass andere Vorschriften (AML, Sicherheit) die Verarbeitung gemäß DSGVO automatisch legalisieren,

o    Situationen, die unterschiedliche Rechtsgrundlagen erfordern, nicht zu unterscheiden,

o    Daten „für alle Fälle” ohne konkreten Zweck zu sammeln.

3. Chaos beim Incident Management

Ein Krankenhaus gab zu, dass es vor dem Vorfall „die Wirksamkeit der Authentifizierungsmaßnahmen (einschließlich Passwörtern) der Domain-Administratoren im Hinblick auf das Risiko, dass unbefugte Dritte Zugriff auf die von diesen Personen verwalteten Ressourcen erhalten, nicht bewertet hat”.

Typische Probleme:

o    Fehlen eines Entscheidungsträgers außerhalb der Geschäftszeiten

o    Verfahren zur Meldung von Vorfällen nur „in der Theorie”

o    Meldungsvorlagen, die nicht an verschiedene Arten von Verstößen angepasst sind

o    Fehlen von Tests für Notfallverfahren.

4. Unkontrollierte Social Media und PR

„Die Veröffentlichung sollte nach Anonymisierung dieser Daten erfolgen. Aufgrund eines Fehlers der veröffentlichenden Person und der Eile wurde die Umsetzung dieser Kampagnenidee nicht ordnungsgemäß durchgeführt”.

Häufige Fehler:

o    fehlende Überprüfungsverfahren vor der Veröffentlichung,

o    eine einzige Person ist für die Veröffentlichung verantwortlich, ohne dass eine rechtliche Aufsicht besteht,

o    fehlende Vorlagen für Krisensituationen,

o    Veröffentlichung „echter Beweise“, wo eine Anonymisierung ausreichend gewesen wäre.

5. Prozessoren und Subunternehmer „im Dunkeln”

Die Prüfung ergab, dass „es keine Instrumente gibt, die einen zentralisierten Einblick in die Sicherheit der IT-Infrastruktur ermöglichen, und dass das Krankenhaus die Wirksamkeit der eingesetzten Sicherheitsmaßnahmen nicht regelmäßig testet, misst und bewertet”.

Probleme:

o    Auftragsvergabe ohne echte Überwachung

o    fehlende Audits bei den Prozessoren

o    Unkenntnis über die Subunternehmer des Prozessors

o    fehlende Kontrollverfahren vor der Einführung neuer Systeme

Lesen Sie weiter, um zu erfahren, welche Maßnahmen Sie ergreifen sollten, um Fehler zu vermeiden.

FALL 1 | Soziale Medien: Veröffentlichung von Daten einer Privatperson

Aktenzeichen: DKN.5131.9.2025

Was ist passiert: In einem Beitrag, der am 13. Mai 2025 auf dem offiziellen Social-Media-Profil eines Präsidentschaftskandidaten veröffentlicht wurde, wurde ein Foto eines nicht anonymisierten Dokuments gepostet, das personenbezogene Daten in Form des Vor- und Nachnamens sowie Angaben zum Wohnort einer Person enthielt, die kein öffentliches Amt bekleidet.

Warum ist das wichtig: Das Wahlkampfteam hatte keine Einwilligung des Dateninhabers zur Verarbeitung der Daten eingeholt, und die Veröffentlichung sollte nach Anonymisierung dieser Daten erfolgen. Aufgrund eines Fehlers der veröffentlichenden Person und der Eile wurde diese Wahlkampfidee nicht korrekt umgesetzt. Das Teilen von „Gegenargumenten” oder „Beweisen” in sozialen Medien entbindet nicht von der Rechtmäßigkeit der Verarbeitung und Minimierung von Daten.

Was Sie beachten sollten:

  1. Überprüfung vor der Veröffentlichung (10 Minuten): Bevor Sie Informationen veröffentlichen, überprüfen Sie: Sind personenbezogene Daten in der Mitteilung notwendig? Können sie anonymisiert werden? Handelt es sich um eine private oder öffentliche Person?
  2. Ein einziger Prozessverantwortlicher: Bestimmen Sie eine Person, die bei Inhalten mit personenbezogenen Daten immer den Anwalt/Datenschutzbeauftragten anruft, um die Konformität des Prozesses mit den Vorschriften zu überprüfen.
  3. Verfahren für das Krisenmanagement: Vorgefertigte Vorlage für die Mitteilung, die zuvor mit dem Anwalt/Datenschutzbeauftragten abgestimmt wurde, sowie Verfahren zur sofortigen Löschung von Inhalten.

Wie wir helfen können:

o    Erstellung einer Checkliste mit „Red Flags“ für Veröffentlichungen in sozialen Medien

o    Erstellung einer Entscheidungsmatrix „veröffentlichen/anonymisieren/nicht veröffentlichen“

o    Schulung des PR-/Marketingteams (praktischer Workshop)

o    Entwicklung eines Verfahrens zur Notfall-Löschung von Inhalten, einschließlich Korrekturmeldungen

o    Prüfung aktueller Veröffentlichungen hinsichtlich des DSGVO-Risikos

o    Entwicklung einer Datenschutzrichtlinie für Marketingaktivitäten

o    Überprüfung der Verträge mit PR-Agenturen hinsichtlich der DSGVO-Verantwortung

o    Einrichtung einer Rechtshotline für dringende Veröffentlichungsentscheidungen

FALL 2 | Ransomware + mangelnde operative Disziplin

Signatur: DKN.5131.48.2022

Was ist passiert: Ein Ransomware-Angriff auf ein Krankenhaus betraf etwa 2000 Personen. Die Sicherheitsvorkehrungen der IT-Systeme wurden geknackt und diese mit Ransomware infiziert, was zu einer Verletzung der Vertraulichkeit und Verfügbarkeit personenbezogener Daten führte. Die Datenschutzbehörde UODO verhängte eine Geldstrafe in Höhe von über 66.000 PLN (16.000 EUR) und ordnete an, die Verarbeitungsvorgänge innerhalb von 60 Tagen an die Anforderungen der DSGVO anzupassen. Die UODO weist darauf hin, dass es keine Beweise dafür gibt, dass die Sicherheitsmaßnahmen wirksam waren und getestet wurden.

Warum das wichtig ist: Das Krankenhaus gab an, dass es „die Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Datenverarbeitung getestet, gemessen und bewertet” habe, untermauerte diese Behauptungen jedoch nicht mit Beweisen und wies gleichzeitig darauf hin, dass „die oben genannten Maßnahmen nicht archiviert wurden und keine Kopien der Berichte über die durchgeführten Maßnahmen erstellt wurden”. „Wir haben Backups” reicht nicht aus, wenn nie überprüft wurde, ob das System damit wiederhergestellt werden kann.

Was ist zu tun:

  1. Ein Wiederherstellungsversuch auf dem ausgewählten System. Ein Server/eine Anwendung reicht aus, um Fehler zu erkennen.
  2. Übung „Vorfall in 60 Minuten”: kurze Simulation: Wer meldet den Vorfall, wer unterzeichnet die Meldung, was senden wir an die Kunden?
  3. Liste der Mängel nach der Übung: 3–5 Dinge, die verbessert werden müssen (z. B. keine Vorlage für die Meldung, keine Telefonnummer für den Entscheidungsträger außerhalb der Geschäftszeiten).

Wie wir helfen können:

o    Entwicklung eines Verfahrens zur Meldung von Vorfällen an die Datenschutzbehörde (72 Stunden)

o    Erstellung von Vorlagen für Benachrichtigungen an natürliche Personen

o    Audit der Risikoanalyse im Hinblick auf die Einhaltung der DSGVO

o    Einführung eines Systems zur Dokumentation von Sicherheitstests

o    Überprüfung der Passwort- und Authentifizierungspolitik

o     Entwicklung eines Plans zur Aufrechterhaltung des Betriebs nach einem Vorfall

o    Schulung des IT-Teams zu den Pflichten gemäß DSGVO

o    Erstellung einer Matrix zur Eskalation von Vorfällen

o    Prüfung der Konformität mit den Anforderungen von Art. 32 DSGVO

FALL 3 | Bankensektor: Übermäßige Datenerhebung unter dem Vorwand der Geldwäschebekämpfung

Aktenzeichen: DKN.5112.6.2020

Was ist passiert: Eine Bank erhielt eine Strafe in Höhe von 18,4 Millionen PLN (ca. 4,5 Mio. EUR) für das „massenhafte” Scannen von Ausweisdokumenten ohne Grund – ein perfektes Beispiel für „übermäßige Datenerhebung unter dem Vorwand anderer Vorschriften”. Die Bank unterschied nicht zwischen Situationen, in denen die Anwendung von Sicherheitsmaßnahmen gerechtfertigt wäre, und solchen, in denen dies nicht der Fall wäre. Sie ging einfach davon aus, dass in jedem Fall ein Scan des Dokuments angefertigt werden müsse.

Warum das wichtig ist: Der Katalog der Gründe für die Rechtmäßigkeit der Verarbeitung personenbezogener Daten, der in Artikel 6 Absatz 1 der Verordnung 2016/679 aufgeführt ist, ist abschließend. Jeder der Gründe, die die Verarbeitung personenbezogener Daten rechtfertigen, ist autonom und unabhängig. Der Verweis auf andere Vorschriften (AML, Sicherheit) rechtfertigt keine übermäßige Datenerhebung.

Was ist zu tun:

  1. Minimum für Verfahren: Überprüfung der Anweisungen – unterscheiden wir zwischen Situationen, die zusätzliche Daten erfordern, und Standardsituationen?
  2. Verhältnismäßigkeitstest: Wir überprüfen stichprobenartig 10 Fälle aus dem letzten Monat – haben wir tatsächlich alle gesammelten Daten benötigt?
  3. Kurze Anleitung für das Personal: ein Blatt Papier: wann scannen wir Dokumente, wann reicht es aus, sie vorzulegen, was machen wir mit Kopien?

Wie wir helfen können:

o    Prüfung der Verfahren zur Kundenidentifizierung im Hinblick auf die Minimierung von Daten

o    Entwicklung einer Matrix „Wann scannen, wann nicht” für verschiedene Situationen

o    Überprüfung der Konformität der AML-Verfahren mit den Anforderungen der DSGVO

o    Schulung des Personals im Hinblick auf die Verhältnismäßigkeit der Datenerhebung

o        Einführung eines Systems zur regelmäßigen Überprüfung der Notwendigkeit der Verarbeitung

o    Entwicklung von Verfahren zur Löschung überflüssiger Kopien von Dokumenten

o    Prüfung der Rechtsgrundlagen für verschiedene Verarbeitungskategorien

o    Erstellung einer DSGVO-konformen Kundenbedienungsanleitung

o    Einführung einer Qualitätskontrolle für Identifizierungsprozesse

o    Entwicklung einer Aufbewahrungsrichtlinie für Ausweisdokumente

FALL 4 | Kampagnen und öffentliche Debatte: „Öffentliches Interesse” ersetzt keine Rechtsgrundlage

Aktenzeichen: DKN.5131.9.2025

Was ist passiert: Die Datenschutzbehörde UODO stellte einen Verstoß gegen Art. 6 (1) DSGVO durch das Wahlkomitee eines Präsidentschaftskandidaten in Form der unrechtmäßigen Verarbeitung personenbezogener Daten einer nicht im öffentlichen Dienst tätigen Person, nämlich des Vor- und Nachnamens sowie Angaben zum Wohnort, durch die Veröffentlichung dieser Informationen in einem Beitrag auf dem offiziellen Social-Media-Profil des Kandidaten.

Warum das wichtig ist: Die Beurteilung dessen, was „notwendig“ ist, umfasst die Feststellung, ob die berechtigten Interessen der Verarbeitung personenbezogener Daten in der Praxis nicht ebenso wirksam mit anderen Mitteln erreicht werden können, die die Rechte oder Freiheiten natürlicher Personen in deutlich geringerem Maße einschränken. Selbst wenn das Thema in unserem Interesse liegt, müssen die Daten einer bestimmten Person rechtmäßig verarbeitet werden.

Was ist zu tun:

  1. Schablone für die Entscheidung „veröffentlichen/nicht veröffentlichen”: kurze Tabelle mit drei Szenarien und einem Beispiel, wann eine Retusche oder Anonymisierung ausreicht.
  2. Zwei Schulungen à 30 Minuten: für die Mitarbeiter und für die externe Agentur – gleiche Überprüfungsregeln.
  3. Notfallkontakt: eine Nummer für die Person, die das Recht hat, die Veröffentlichung für eine Stunde zu „stoppen”, um ihre Rechtmäßigkeit zu überprüfen.

Wie wir helfen können:

o    Entwicklung von Verfahren zur Datenverarbeitung in Wahlkampagnen

o    Schulung von Wahlkampfteams zum Thema DSGVO in der Politik

o    Prüfung von Wahlkampfmaterialien auf Risiken der Verletzung der Privatsphäre

o    Entwicklung einer Datenschutzrichtlinie für Wahlkampfaktivitäten

o    Erstellung einer Compliance-Checkliste für Wahlkampfveröffentlichungen

o    Einführung von Verfahren zur Überprüfung der Rechtsgrundlagen vor der Veröffentlichung

o    Entwicklung von Vorlagen für Einwilligungen zur Datenverarbeitung im Wahlkampf

o    Überprüfung der Verträge mit Wahlkampfdienstleistern im Hinblick auf die DSGVO

o    Einrichtung eines Systems zur Überwachung der Konformität von Wahlkampfaktivitäten

________________________________________