Im Folgenden erörtern wir die polnischen Datenschutzbestimmungen und häufige Fehler, die von Unternehmen in Polen begangen werden, wenn ausländische Muttergesellschaften spezifische Lösungen einführen. Wir zeigen die möglichen Folgen auf und wie sie durch die Einführung geeigneter Instrumente verhindert werden können.

Cookies und andere Tracking-Technologien

In Polen ist die Verwendung von Cookies und anderen Tracking-Technologien durch das Gesetz über elektronische Kommunikation (Artikel 399-400 GeK) streng geregelt. Gemäß diesen Bestimmungen dürfen Cookies nur mit vorheriger, aktiver und eindeutiger Zustimmung des Nutzers auf dessen Endgerät platziert werden. Der Nutzer muss die Möglichkeit haben, seine Zustimmung zu verschiedenen Kategorien von Dateien (z. B. für den Betrieb des Dienstes, für die Analyse, für das Marketing) getrennt zu erteilen, und er muss in der Lage sein, seine Zustimmung jederzeit problemlos zu widerrufen.

Laut Gesetz ist ein Verzeichnis der erteilten Einwilligungen zu erstellen, aus dem hervorgeht wer, wann und in was eingewilligt hat, und es müssen maximale Aufbewahrungsfristen für jede Art von Daten festgelegt werden. Die Aufsichtsbehörde (Amt für elektronische Kommunikation, poln. Urząd Komunikacji Elektronicznej, kurz “UKE” oder die Datenschutzbehörde poln. Urząd Ochrony Danych Osobowych, kurz “UODO”) prüft bei einem Audit unter anderem, ob das Einwilligungsbanner die Ablehnung aller Dateien zulässt und ob die Protokolle den Einwilligungsverlauf tatsächlich so archivieren, dass eine vollständige Überprüfbarkeit gewährleistet ist.

Typischer Fehler: Globales Soft-Opt-In-Banner – eine Schaltfläche „Alle akzeptieren“, keine Möglichkeit zum Opt-Out oder zur Deaktivierung von Analysen. Einverständnis wird „durch weitere Überprüfung“ anerkannt, kein Einverständnisregister und Tabellen zur Datenaufbewahrung.

Marketing-Kommunikation (E-Mail, SMS, Push, Messenger)

Jede Nachricht mit kommerziellem Charakter bedarf – auch wenn sie an eine Geschäftsadresse gesendet wird – der vorherigen ausdrücklichen Zustimmung des Empfängers (Art. 398 GeK).

Erforderliche Zustimmung:

Typischer Fehler: Massenhaftes B2B-Cold Calling auf der Grundlage eines „berechtigten Interesses“ oder eines aggregierten Kontrollkästchens, das die Zustimmung zum Marketing kombiniert. Kein zentrales Zustimmungsprotokoll oder Abmeldungshistorie.

Überwachung von Mitarbeitern und Besuchern (Videoüberwachung und E-Mail)

Jede Form der Überwachung am Arbeitsplatz – einschließlich der Bildaufzeichnung mit CCTV-Kameras, der GPS-Standortverfolgung und der Kontrolle von Geschäfts-E-Mails – muss gemäß Artikel 22² des Arbeitsgesetzes förmlich in die Arbeitsordnung aufgenommen werden. Der Arbeitgeber muss die Arbeitnehmer mindestens 14 Tage im Voraus über die geplante Durchführung der Überwachung informieren und entsprechende Schilder in den von der Überwachung betroffenen Bereichen anbringen. Der Zweck der Überwachung muss klar definiert werden (z. B. Gewährleistung der Sicherheit, Schutz des Eigentums, Wahrung der Vertraulichkeit von Informationen), und alle Maßnahmen müssen dem beabsichtigten Zweck angemessen sein und den Datenschutzvorschriften entsprechen.

Typischer Fehler: Tools zum Scannen von E-Mails, die zentral im Konzern eingesetzt werden, ohne Berücksichtigung des lokalen rechtlichen Umfelds für diese Technologien. Mitlesen der Post von Mitarbeitern ohne deren Zustimmung durch die IT-Abteilung, ohne dass eine Überwachung eingeführt wird.  CCTV-System ohne klare Beschilderung.  GPS in Fahrzeugen ohne Nutzungsbeschränkung. Überwachung von Firmentelefonen ohne klare Informationen.

Private Geräte und Messenger (BYOD)

In der polnischen Rechtsordnung darf ein Arbeitgeber die Verarbeitung von Geschäftsdaten auf den privaten Geräten der Mitarbeiter nur zulassen, nachdem er die schriftliche Zustimmung der Mitarbeiter eingeholt und eine angemessene Risikobewertung durchgeführt hat, wobei die Anforderungen der DSGVO und Artikel 22¹ des Arbeitsgesetzes zu berücksichtigen sind. Außerdem müssen MDM-Lösungen (Mobile Device Management) oder andere Sicherheitsmechanismen für private Geräte implementiert werden, und das Kündigungsverfahren muss die Wiederherstellung oder Löschung von Unternehmensdaten auf diesen Geräten regeln.

Typischer Fehler: Die Mitarbeiter nutzen ihre privaten Telefone und Computer für geschäftliche Zwecke (BYOD), das Unternehmen hat jedoch keine festgelegte Richtlinie oder schriftliche Genehmigung für diese Regelung (kein MDM). Diese Geräte sind nicht angemessen gesichert und es gibt kein Verfahren zur Wiederherstellung der darauf gespeicherten Unternehmensdaten, wenn ein Mitarbeiter das Unternehmen verlässt.

Hinweisgeber (Whistleblowing)

Das polnische Whistleblowing-Gesetz aus dem Jahr 2024 schreibt vor, dass alle Meldungen von Hinweisgebern von einer speziellen, in Polen tätigen Stelle entgegengenommen und bearbeitet werden. Die Organisation muss sicherstellen, dass angemessene organisatorische und technische Sicherheitsvorkehrungen getroffen werden, und wenn eine externe SaaS-Plattform verwendet wird, sollte sie zusätzliche Vereinbarungen treffen, um sicherzustellen, dass Whistleblowing in Übereinstimmung mit polnischem Recht bearbeitet wird und dass der Hinweisgeber rechtzeitig eine Rückmeldung erhält.

Typischer Fehler: Ein Meldekanal, der ausschließlich in der Zentrale (z. B. in Deutschland) funktioniert, ohne lokale Verfahren, ohne polnisches Entscheidungsteam und ohne rechtzeitige Rückmeldung.

Datenschutzrichtlinien und namentliche Berechtigungen

Die Aufsichtsbehörde (UODO) betont in ihren Entscheidungen immer wieder, dass jeder Mitarbeiter über eine namentliche Berechtigung zur Verarbeitung personenbezogener Daten verfügen muss, die den Umfang der Tätigkeiten und die Systeme enthält, die er bearbeiten darf. Die Datenschutzrichtlinie sollte die Organisationsstruktur des Unternehmens widerspiegeln, die für die Bearbeitung von Anfragen betroffener Personen zuständigen Rollen (Reaktionszeit – 30 Tage) und das Verfahren für das Management von Zwischenfällen (Reaktion bis zu 72 Stunden) festlegen und in jedem Unternehmen gesondert umgesetzt werden. Diese Dokumentation ist ein wichtiger Nachweis der Verantwortlichkeit im Falle eines Audits.

Typischer Fehler: Globale Politik, die „per E-Mail“ umgesetzt wird, ohne Beschluss des Vorstands eines polnischen Unternehmens und ohne Einzelgenehmigungen; kein Vorfallregister.

Datenschutzbeautragter (DSB)

In Polen muss der DSB eine natürliche Person sein, die der gegenüber der Datenschutzbehörde von einem polnischen Unternehmen ernannt wird. Wird eine externe Organisation mit dieser Aufgabe betraut, muss ein bestimmter Mitarbeiter dieser Organisation als verantwortlicher DSB benannt werden. Seine oder ihre Kontaktdaten – einschließlich Vor- und Nachname – müssen in polnischer Sprache auf der Website und in den Informationsklauseln angegeben werden. Der DSB sollte direkt dem Vorstand unterstellt sein und über die notwendigen Ressourcen verfügen, um seine Aufgaben zu erfüllen; er sollte Polnisch sprechen oder von einem polnischsprachigen Team unterstützt werden.

Typischer Fehler: Eine Person, die als globaler DSB fungiert, wurde in Polen nicht förmlich gemeldet; keine Kontaktdaten auf Polnisch auf der Website; der DSB nimmt auch andere Aufgaben wahr – Interessenkonflikt.

Jährliche Datenschutzprüfung

Gemäß dem Grundsatz der Rechenschaftspflicht in Artikel 24 DSGVO ist jedes Unternehmen verpflichtet, jährlich oder nach jeder wesentlichen Änderung in der IT-Gegebenheiten (z. B. neues System, Unternehmensübernahme) eine dokumentierte Bewertung der Wirksamkeit der getroffenen Datenschutzmaßnahmen durchzuführen. Das Datenschutzamt verlangt in seinen Entscheidungen einen vom Vorstand genehmigten Auditbericht mit Empfehlungen für Abhilfemaßnahmen als Grundlage für den Nachweis der vollständigen Einhaltung der Vorschriften bei einer möglichen Kontrolle.

Typischer Fehler: Die im Jahr 2023 eingeführten Maßnahmen wurden nicht aktualisiert, und neue Anträge und Lieferanten wurden überhaupt nicht bewertet; das interne Audit beschränkt sich auf eine „copy-paste“-Checkliste.

ikona ważne

In der Broschüre „DSGVO – Global Compliance, lokale Risiken“ weisen wir auf die potenziellen Folgen der beschriebenen Fehler auf und erläutern, wie Sie diese durch die Einführung der von uns vorgeschlagenen Instrumente vermeiden können.

Haben Sie Fragen? Bitte kontaktieren Sie uns!

Kontakt:

Anna Matusiak-Wekiera – radczyni prawna (Rechtsanwältin PL) | Counsel, Head of Data Protection & Compliance

Krzysztof Brant – radca prawny (Rechtsanwalt PL) | Senior Associate, Data Protection & Compliance