Reform des Datenschutzes in Polen

Das Thema des Datenschutzes im polnischen Tochterunternehmen ist aktueller als jemals zuvor: die Bestimmungen der Europäischen Datenschutzgrundverordnung werden ab dem 25. Mai 2018 einheitlich in der Europäischen Union, und damit auch in Polen, gelten. Obwohl die neuen europarechtlichen Bestimmungen grundsätzlich in jedem Mitgliedsland unmittelbar gelten werden, enthält die Datenschutzgrundverordnung Ermächtigungen für den jeweiligen Landesgesetzgeber, bestimmte Bereiche des Datenschutzes in eigener Regie zu regeln. Dies betrifft in der Regel die Einführung zusätzlicher oder weitergehender Bestimmungen in Bezug auf datenschutzrechtliche Themen, die durch die Verordnung genau bezeichnet sind, z. B. bei Fragen der Rechtmäßigkeit der Datenverarbeitung.

Verabschiedung eines neuen Datenschutz-Gesetzes

Nach Angaben des Ministeriums für Digitalisierung, das in Polen für die Umsetzung der oben genannten Bereiche der Datenschutz-Grundverordnung in das nationale polnische Recht zuständig ist, wurden bis zum 13. Oktober 2017 gesellschaftliche Konsultationen durchgeführt. Im Zusammenhang mit der europarechtlichen Reform des Datenschutzes ist in Polen geplant, ein neues Gesetz über den Schutz von personenbezogenen Daten zu verabschieden, in dem u. a. die Voraussetzungen für das Funktionieren der polnischen Aufsichtsbehörde, des Amtes für den Schutz personenbezogener Daten, dargestellt werden. Darüber hinaus sind nach Angaben des polnischen Ministeriums für Digitalisierung in über 130 Gesetzen Änderungen notwendig, um das polnische Recht an die Bestimmungen der Datenschutz-Grundverordnung anzupassen (z. B. im polnischen Arbeitsgesetzbuch).

Neue Anforderungen an den Datenschutz in Polen

Neue Kompetenzen der polnischen Aufsichtsbehörde

Wie wohl in allen Mitgliedsstaaten der Europäischen Union gilt auch in Polen ab dem 25 Mai 2018 ein Bußgeldkatalog, der die bisher im nationalen Recht vorgesehenen Strafen für Verstöße gegen die sich aus den Datenschutzgesetzen ergebenden Verpflichtungen in den Schatten stellt. Im Vergleich zu den in der Datenschutz-Grundverordnung enthaltenen Möglichkeiten der Verhängung von Geldbußen waren die Kompetenzen der bisherigen polnischen Aufsichtsbehörde in diesem Bereich stark eingeschränkt. Viele polnische Unternehmer haben deshalb den bisher für den Datenschutz in Polen verantwortlichen Generalinspektor lediglich als „zahnlosen“ Tiger wahrgenommen, der neben dem Fehlen der notwendigen gesetzlichen Berechtigungen zur Ahndung von Verstößen gegen den Datenschutz auch personell unterbesetzt war. Dies Wahrnehmung wie auch das fehlende Wissen über die Notwendigkeit des Schutzes von personenbezogenen Daten haben bisher dazu geführt, dass polnische mittelständische Unternehmen dem Datenschutz eine geringe Bedeutung beigemessen haben.

So konnte der Generalinspektor bei Verstößen gegen die Grundsätze der Datenverarbeitung, die anlässlich einer Kontrolle in einem Unternehmen festgestellt wurden, zunächst einmal lediglich einen Verwaltungsbescheid erlassen. In diesem Bescheid wurde der Unternehmer verpflichtet, den bei der Kontrolle vorgefundenen Zustand an die Vorgaben des polnischen Datenschutzgesetzes anzupassen. Kam der Unternehmer diesen Auflagen nicht nach, konnte die polnische Aufsichtsbehörde dem Unternehmer ein Bußgeld von bis zu maximal 50.000,- PLN (ca. 12.500,- €) auferlegen, um ihn zur Einhaltung der datenschutzrechtlichen Bestimmungen zu motivieren. Im Rahmen desselben Verwaltungsverfahrens durfte das Bußgeld bisher den Betrag von 200.000,- PLN (ca. 50.000,- €) für Kapitalgesellschaften wie die GmbH oder die AG nicht überschreiten.

Deutscher Rechtsanwalt berät in Warschau im polnischen Datenschutzrecht.

Rufen Sie uns an! Sie erreichen uns in Warschau unter der Rufnummer: + 48 22 854 29 10.

Datenschutz als innerbetriebliche Maßnahme

Die Datenschutz-Grundverordnung sieht vor, das der Unternehmer geeignete technische und organisatorische Maßnahmen zu treffen hat, um ein dem Risiko angemessenes Niveau des Schutzes von personenbezogenen Daten zu gewährleisten (Art. 32 Abs. 1 DSGVO). Darüber hinaus enthält die Datenschutz-Grundverordnung die Verpflichtung, ein Verzeichnis aller Verarbeitungstätigkeiten zu führen, dass u. a. auch eine allgemeine Beschreibung der oben genannten technischen und organisatorischen Maßnahmen zu enthalten hat (Art. 30 Abs. 1 lit. g DSGVO). Der Gesetzestext der DSGVO geht zwar davon aus, dass diese allgemeine Beschreibung dann zu erstellen ist, wenn dies möglich ist, lässt aber offen, was unter dem Begriff „wenn möglich“ tatsächlich zu verstehen ist.

Deshalb sollte dort, wo dies mit vertretbarem Aufwand möglich ist, eine derartige Dokumentation verfasst werden. Für Unternehmer in Polen, die sich bereits mit dem Thema des Datenschutzes nach den bisher geltenden Bestimmungen vertraut gemacht haben, dürfte diese Anforderung nicht wirklich etwas neues sein. Das polnische Datenschutzgesetz sieht bereits vor, dass der Unternehmer eine Dokumentation zu führen hat, in der die Art und Weise der Datenverarbeitung sowie die für eine ausreichende Sicherung der verarbeiteten Daten erforderlichen Mittel zu beschreiben sind (Art. 36 des geltenden polnischen Datenschutzgesetzes).

Schutz von vertraulichen Geschäftsinformationen

Im Zusammenhang mit der ab dem 25. Mai 2018 geltenden Reform des Schutzes personenbezogener Daten möchten wir Sie auch darauf aufmerksam machen, dass am 08. Juni 2016 die Europäische Richtlinie über den Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen (Geschäftsgeheimnis-Richtlinie) in Kraft getreten ist, die durch die Mitgliedsstaaten, darunter Polen, bis zum 09. Juni 2018 in nationales Recht umzusetzen ist. Dabei wird unter anderem besonderer Wert auf die Frage gelegt, ob der Inhaber des Geschäftsgeheimnisses in der Vergangenheit angemessene Maßnahmen zur Geheimhaltung der vertraulichen Informationen getroffen hat. Nur wenn dies der Fall ist, werden vertrauliche Informationen als Geschäftsgeheimnis klassifizierbar und eine gerichtliche Verfolgung bei unberechtigter Nutzung oder Offenlegung zulässig sein.

Bei der Frage, welche Maßnahmen im jeweiligen Unternehmen eingeführt werden sollten, kann auf die internationale Normenfamilie ISO 27000, und insbesondere auf die Norm ISO 27002 zurückgegriffen werden (Internationaler Standard für die Informationssicherheit). Hierbei geht es jedoch nicht in erster Linie um eine Zertifizierung, sondern um die Berücksichtigung der entsprechenden Maßnahmen, die aus wichtigen Informationen erst ein Geschäftsgeheimnis im Sinne der Rechtsvorschriften machen.

Deshalb ist es empfehlenswert, die Frage des Datenschutzniveaus im polnischen Unternehmen, insbesondere in der polnischen Tochtergesellschaft, mit der generellen Frage des Informationsschutzes (Absicherung des Geschäftsgeheimnis) zu verbinden. Die von der ISO Norm 27002 erfassten Maßnahmen gelten deshalb sowohl für die Absicherung personenbezogener Daten als auch für die Sicherstellung eines hohen Schutzniveaus im Bereich der Informationssicherheit.

Unser Beratungsangebot im Bereich des polnischen Datenschutzrechts

Unsere deutschen Rechtsanwälte und deutschsprachigen polnischen Anwälte stehen Ihnen sehr gerne insbesondere mit den folgenden Beratungsleistungen zur Seite:

  • Feststellung des datenschutzrechtlichen Ist-Zustandes in Ihrer polnischen Tochtergesellschaft,
  • Beratung bei der Umsetzung der Bestimmungen der Datenschutz-Grundverordnung in Ihrem Unternehmen,
  • Beratung bei der Erstellung eines auf Ihr Tochterunternehmen zugeschnittenen Datenschutzkonzeptes (insbesondere Umgang mit personenbezogenen Daten, Registrierung von Datensammlungen, Schulung der Mitarbeiter, Erstellung der notwendigen Dokumentationen),
  • Beratung zu Fragestellungen des Datenschutzes bei der Arbeitnehmerüberwachung in der polnischen Tochtergesellschaft,
  • Beratung zu Fragestellungen der Sicherung von personenbezogenen Daten entsprechend den Anforderungen des polnischen Datenschutzgesetzes,
  • Beratung im Zusammenhang mit Kontrollen der polnischen Aufsichtsbehörde,
  • Beratung bei der Frage der Absicherung Ihres Geschäftsgeheimnisses, Erstellung eines Sicherungskonzeptes für Ihr geschäftliches Know-How.

Suchen Sie einen Rechtsanwalt für die rechtliche Beratung im Bereich des polnischen Datenschutzrechtes?

Rufen Sie uns an (D: 0049.30.920383-0508 oder PL: 0048.22.8542910) oder senden Sie uns eine Nachricht!

Beachten Sie bitte unsere Datenschutzerklärung.