Die polnische Regierung schlägt vor, die kleinen und mittleren Unternehmen von einigen in der DSGVO vorgesehenen Pflichten zu befreien.
Arbeiten an die Einführungsvorschriften zur DSGVO in Polen immer noch im Vorgang
In Polen wird an die Einführungsvorschriften zur Datenschutz-Grundverordnung (DSGVO) gearbeitet. Das neue Datenschutzgesetz soll die DSGVO nur betreffend z.B. die neue Aufsichtsbehörde, das Zertifizierungsverfahren und das Kontrollverfahren ergänzen. Ansonsten sollen auch mehr als 130 weitere Gesetze geändert werden. Es wird diskutiert, in welchen Branchen die sich aus der DSGVO ergebenden Verpflichtungen begrenzt werden sollen.
Die Regierung schlägt eine Befreiung von der Informationspflicht vor
In den letzten Tagen schlug die Regierung vor, dass den kleinen und mittleren Unternehmen keine unnötigen Verwaltungslasten auferlegen werden sollen. Vor allem sollen die Unternehmer, die weniger als 250 Mitarbeiter einstellen, keine Daten Dritten zugänglich machen und keine sensiblen Daten verarbeiten, von der Informationspflicht gemäß Art. 13 Abs. 2 DSGVO befreit werden [1]. Infolgedessen hätten sie nicht u.a. über das Beschwerderecht bei einer Aufsichtsbehörde, das Recht auf Berichtigung, Löschung oder das Widerspruchsrecht gegen die Verarbeitung zu informieren. Die Informationspflicht wird jedoch nicht komplett ausgeschlossen, sondern nur begrenzt. Die Rechte der betroffenen Person werden damit auch nicht beeinträchtigt und können geltend gemacht werden.
Die Befreiung von der Informationspflicht bedeutet keine Haftungsbefreiung
Trotz der vorgeschlagenen Befreiung müssten die Unternehmer die übrigen Verpflichtungen der DSGVO erfüllen. Sollte zum Beispiel zur Verletzung des Schutzes personenbezogener Daten (in Folge einer Datenpanne etc.) kommen, dann hat der Unternehmer im Regelfall die zuständige Aufsichtsbehörde zu benachrichtigen und ist dafür verantwortlich.
Bedenken in Hinblick auf die Unionsrechtswidrigkeit des Vorschlags
Obwohl der Vorschlag von den Firmen begrüßt wurde, gibt er Anlass hinsichtlich seiner Unionsrechtskonformität zu bedenken. Der Vorschlag wird kritisiert [2], weil die Befreiung sogar die Mindeststandards gemäß den aktuell geltenden datenschutzrechtlichen Vorschriften nicht gewährleisten wird und gegen dem UE-Recht verstoßen kann.
Derzeit werden die Arbeiten an dem neuen Datenschutzgesetz und den übrigen Einführungsvorschriften fortgesetzt. Die endgültige Fassung der Vorschriften ist noch zu erwarten.
Quellen:
[1] Auskunft vom 23. Januar 2018 vor der Internetseite der polnischen Regierung: https://www.gov.pl/cyfryzacja/stosowanie-przepisow-rodo-do-mp-oswiadczenie-wspolne-mc-i-mpit [letzter Zugang: 27.01.2018]
[2] Stellungnahme der Stiftung „Panoptykon“ und des Polnischen Wirtschaftsrates [poln. Polska Rada Biznesu], veröffentlicht am 23. Januar 2018: https://panoptykon.org/sites/default/files/stanowiska/rodo_apel_panoptykon_prb_23.01.2018.pdf [letzter Zugang: 27.01.2018]
