Das polnische Datenschutzrecht – ein Überblick

Datenschutz ist ein wichtiges Thema in der Europäischen Union. Bereits im Vorfeld des EU-Beitritts wurde das polnische Gesetz vom 29. August 1997 über den Schutz personenbezogener Daten an die Bestimmungen der Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr angepasst. In den letzten Jahren gab es darüber hinaus eine Reihe von Gesetzesnovellen, die die hohe Bedeutung des Datenschutzes in der polnischen Rechtsordnung weiter unterstrichen haben.

Jeder Unternehmer, der grenzüberschreitend innerhalb der Europäischen Union tätig ist, weiß, dass datenschutzrechtliche Bestimmungen anderer Ländern zu beachten sind. Dabei stellt sich jedoch schnell heraus, dass der Datenschutz in den einzelnen Mitgliedsstaaten in der Praxis durchaus unterschiedlich gehandhabt wird. Bei der Ausübung seiner wirtschaftlichen Tätigkeit hat der in Polen tätige Unternehmer täglich mit der Verarbeitung personenbezogener Daten zu tun, sei es im Rahmen der Beschäftigung von Mitarbeitern oder bei Marketingmaßnahmen für die Bewerbung eigener Produkte oder Dienstleistungen.

Dabei stellt sich zunächst die Frage, was personenbezogene Daten überhaupt sind.

Personenbezogene Daten im Lichte des polnischen Datenschutzrechtes

Nach der gesetzlichen Definition sind personenbezogene Daten alle Informationen, die eine bestimmte, bereits identifizierte oder eine bestimmbare und damit zu identifizierende natürliche Person betreffen. Dabei ist eine Person dann identifizierbar, wenn ihre Identität unmittelbar oder mittelbar bestimmbar ist, insbesondere aufgrund einer Identifikationsnummer oder mithilfe einer bzw. mehrerer kennzeichnender Faktoren, die ihre physischen, physiologischen, geistigen, ökonomischen, kulturellen oder gesellschaftliche Eigenschaften bezeichnen.

Das polnische Datenschutzrecht schließt hierbei jedoch die Informationen aus dem Kreis der personenbezogenen Daten aus, die nur mit übermäßigen Kosten oder einem überdimensionalen Zeitaufwand bzw. einem beträchtlichen Maß an vorzunehmenden Tätigkeiten zur Feststellung der Identität einer natürlichen Person führen können. Das bedeutet, dass Informationen über eine natürliche Person nur für denjenigen personenbezogene Daten darstellen, der einzelne, allgemein gehaltene Informationen ohne den oben genannten Aufwand miteinander verbinden kann, um so die Identität dieser Person herauszufinden. Das betrifft z. B. den Unternehmer, der eine Kundendatei nach bestimmten Suchkriterien führt, die einzelne Kundendaten für Marketingzwecke zu einem sinnvollen Ganzen im Hinblick auf den einzelnen Kunden verbindet. Ein Ausdruck aus dieser Datei, der lediglich eine von diesem System vergebene Identifikationsnummer für den jeweiligen Kunden und z. B. die Höhe des monatlichen Einkommens enthält, würde hingegen für eine nicht in diesem Unternehmen tätige Person keine personenbezogenen Daten darstellen, da sie ohne das entsprechende EDV-System nicht in der Lage ist, die Kunden nur aufgrund der Identifikationsnummer und des angegebenen Einkommens zu identifizieren.

Generell gehören zu den personenbezogenen Daten Informationen wie Name, Vorname in Verbindung mit der Adresse oder der Telefonnummer der jeweiligen Person. Darüber hinaus wird in Polen auch die behördlich einer natürlichen Person zugeordnete PESEL-Nummer (Identifikationsnummer) als personenbezogene Information behandelt. Weiterhin stellen E-Mail-Adressen, die sich aus dem Vor- und Nachnamen sowie dem Unternehmensnamen zusammensetzen, personenbezogene Daten dar, da sie aufgrund dieser Informationen eine schnelle Identifikation der dahinter stehenden Person ermöglichen.

Welche personenbezogenen Daten unterliegen der Melde-pflicht?

Das polnische Datenschutzrecht sieht die Verpflichtung des Verwalters der personenbezogenen Daten (polnisch: administrator danych) vor, Datensammlungen zur Registrierung beim polnischen Generalinspekteur für den Datenschutz in Warschau anzumelden. Dabei entspricht der Verwalter der personenbezogenen Daten dem im deutschen Bundesdatenschutzgesetz verwendeten Begriff der verantwortlichen Stelle (der die Daten verarbeitende Unternehmer). Als Datensammlung versteht das polnische Datenschutzgesetz jede Zusammenstellung von Daten mit persönlichem Charakter, die eine bestimmte Struktur besitzt und nach vorher bezeichneten Kriterien zugänglich ist (z. B. mithilfe einer Suchmaske), unabhängig davon, ob sich diese Datenzusammenstellung an verschiedenen Orten oder in verschiedenen Teilen des Informationssystems innerhalb des jeweiligen Unternehmens befindet.

Zu beachten ist hierbei, dass eine Datensammlung sowohl in traditioneller Papierform (unter bestimmten Voraussetzungen z. B. im Aktenordner mit Registrierungsindex) als auch als computergestützte Datenbank vorliegen kann (z. B. in einer Excel-Tabelle). Für die Feststellung, wie viele Datensammlungen im Unternehmen vorhanden sind, sind die zu erhebenden Daten insbesondere nach dem Erhebungszweck und der Rechtsgrundlage für ihre Verarbeitung voneinander abzugrenzen (z. B. Datenerhebung für arbeitsrechtliche Zwecke oder auch für Marketingaktivitäten des Unternehmens).

Von der Meldepflicht befreit sind u. a. die folgenden Datensammlungen, die:

  • personenbezogene Daten außerhalb einer Datenverarbeitungsanlage verarbeiten, mit Ausnahme von besonderen Arten personenbezogener Daten („empfindliche personenbezogene Daten“),
  • personenbezogene Daten im Zusammenhang mit einer Beschäftigung im Rahmen eines Arbeitsverhältnisses oder aufgrund eines zivilrechtlichen Vertrages (Werkvertrag, Auftragsvertrag) verarbeiten, inclusive der Daten, die während eines Rekrutierungsverfahrens erhoben werden,
  • personenbezogene Daten von Personen enthalten, die medizinische Dienstleistungen bei der verantwortlichen Stelle (z. B. einem privat geführten Ärztehaus) in Anspruch nehmen,
  • personenbezogene Daten von Mandanten einer Notariats-, Rechtsanwalts- oder Steuerberatungskanzlei für die Bereitstellung der entsprechenden Beratungsleistungen enthalten,
  • personenbezogene Daten ausschließlich im Zusammenhang mit der Ausstellung von Rechnungen sowie der Ausübung von buchhalterischen Tätigkeiten vorhalten,
  • die personenbezogene Daten im Bereich der kleinen Angelegenheiten des täglichen Lebens verarbeiten.

Darüber hinaus muss sich derjenige Unternehmer nicht um die Meldepflicht von Datensammlungen kümmern, der einen Beauftragten für den Datenschutz in seinem Unternehmen bestellt und diesen beim Generalinspekteur für den Datenschutz in Warschau angemeldet hat.

Wichtig ist hierbei, dass für die genannten Datensammlungen lediglich die Registrierungspflicht bei der zuständigen polnischen Aufsichtsbehörde entfällt. Das bedeutet, dass die anderen Vorschriften des polnischen Datenschutzgesetzes, u. a. über die Anforderungen im Bereich der Sicherung personenbezogener Daten, auch für die nicht der Meldepflicht unterliegenden Datensammlungen gelten.

Konsequenzen der Nichteinhaltung der datenschutzrechtlichen Bestimmungen

Das Ignorieren der datenschutzrechtlichen Vorschriften kann sowohl ordnungsrechtliche (Bußgeld bis zu einer Höhe von insgesamt 200.000,- PLN) als auch strafrechtliche Konsequenzen (Freiheitsstrafe bis zu 3 Jahren) nach sich ziehen.

Darüber hinaus kann die Nichteinhaltung des gesetzlich vorgeschriebenen Datenschutzes aber auch zu einem beträchtlichen Imageschaden des davon betroffenen Unternehmens führen. Immer wieder gibt es Informationen über Personen oder Vereinigungen, die es sich zur Aufgabe gemacht haben, zu prüfen, ob Unternehmen der unterschiedlichsten Branchen z. B. ihrer Pflicht zur Registrierung von Datensammlungen nachgekommen sind. Ist dies nicht der Fall, wird nicht selten der polnischen Aufsichtsbehörde eine entsprechende Information übermittelt, die dann durchaus zu einer Prüfung des Generalinspekteurs für den Datenschutz führen kann.

Unser Beratungsangebot im Bereich des polnischen Datenschutzrechts

Unsere deutschen Rechtsanwälte und deutschsprachigen polnischen Anwälte stehen Ihnen sehr gerne insbesondere mit den folgenden Beratungsleistungen zur Seite:

  • Beratung zu Fragestellungen des Datenschutzes bei der Arbeitnehmerüberwachung in der polnischen Tochtergesellschaft,
  • Beratung bei der Erstellung eines auf Ihr Tochterunternehmen zugeschnittenen Datenschutzkonzeptes (insbesondere Umgang mit personenbezogenen Daten, Registrierung von Datensammlungen, Schulung der Mitarbeiter),
  • Beratung zu Fragestellungen der Sicherung von personenbezogenen Daten entsprechend den Anforderungen des polnischen Datenschutzgesetzes,
  • Beratung im Zusammenhang mit Kontrollen der polnischen Aufsichtsbehörde.

Suchen Sie einen Rechtsanwalt für die rechtliche Beratung im Bereich des polnischen Datenschutzrechtes?

Rufen Sie uns an (D: 0049.30.920383-0508 oder PL: 0048.22.8542910) oder senden Sie uns eine Nachricht!

Beachten Sie bitte unsere Datenschutzerklärung.