Der zweite belastbare Datenschutzfall dieses 26. Mai kommt aus Polen. Die Datenschutzaufsicht UODO meldet heute, dass das Wojewódzki Sąd Administracyjny in Warschau die Bußgeldentscheidung gegen Fortum Energia S.A. und den IT-Dienstleister Pika erneut bestätigt hat. Nach Angaben der Behörde ging es um einen Vorfall, bei dem Daten von mehr als 90.000 Personen betroffen waren. Die Aufsicht sieht sowohl beim Verantwortlichen als auch beim Auftragsverarbeiter Verstöße gegen die DSGVO. Genau diese Doppelperspektive macht den Fall für Unternehmen relevant.
Das Thema ist nicht neu, aber der heutige Anlass ist es. Das Verfahren war zwischenzeitlich durch die gerichtliche Prüfung offen, bevor es nach einer kassatorischen Entscheidung des obersten Verwaltungsgerichts noch einmal beim Warschauer Gericht landete. Laut UODO hat das Gericht nun erneut bestätigt, dass Fortum seinen Dienstleister vor Vertragsschluss nicht ausreichend auf Sicherheitsgarantien geprüft hat. Hinzu kamen laut der heutigen UODO-Mitteilung fehlende Sicherheitstests in der Entwicklungsphase und eine mangelnde tatsächliche Kontrolle über Änderungen am IT-System. Die Aufsicht hält deshalb Geldbußen von rund 5 Millionen Zloty gegen Fortum und mehr als 250.000 Zloty gegen Pika weiter für gerechtfertigt.
Warum ist das mehr als eine polnische Einzelfallmeldung? Weil hier ein verbreitetes Missverständnis zerlegt wird. Viele Unternehmen behandeln Auftragsverarbeitung noch immer so, als reiche ein sauber formulierter Vertrag plus ein Häkchen im Lieferantenprozess. Der heutige Fall zeigt das Gegenteil. Sobald ein Dienstleister mit realen Kundendaten in produktionsnahen oder entwicklungsnahen Umgebungen arbeitet, zählen nicht nur Papier und Rollenbeschreibungen. Dann geht es um belastbare Vorabprüfung, echte Kontrollrechte, dokumentierte Change-Prozesse und die Frage, ob Sicherheitsmaßnahmen tatsächlich gelebt werden.
Der kritische Punkt liegt in der Entwicklungs- und Änderungsphase
Gerade dieser Aspekt ist für viele Organisationen unangenehm nah am Alltag. Der GRC Report hatte im März bereits über die Wiederbelebung des Falls berichtet und die praktische Stoßrichtung klar benannt: Verantwortliche und Auftragsverarbeiter haften nicht nur für formale Zuständigkeiten, sondern für reale Sicherheitskontrolle. Das Medium verweist außerdem darauf, dass die Vorwürfe die Nutzung echter personenbezogener Daten in einer zusätzlichen Datenbank, unzureichende Tests sowie Defizite bei Firewall- und Schutzkonfigurationen betrafen. Wer solche Arbeiten an Dienstleister auslagert, baut schnell eine Grauzone auf, in der Produktivität, Fehlersuche und Datenschutz kollidieren.
Besonders lehrreich ist, dass der Fall nicht an einem exotischen Spezialproblem hängt. UODO verweist auf fehlendes Testen von Schutzmaßnahmen und auf mangelnde Aufsicht über Änderungen im System. Das ist exakt die Zone, in der Unternehmen intern oft am wenigsten sauber dokumentiert sind. Entwicklung, Migration, Performance-Tuning oder Hotfixes laufen unter Zeitdruck. Datenkopien entstehen aus Praktikabilität. Testsysteme werden mit echten Datensätzen befüllt, weil Mock-Daten als unpraktisch gelten. Und auf Seiten des Auftraggebers verlässt man sich darauf, dass der Dienstleister schon wissen werde, was er tut. Genau dort setzt die Datenschutzlogik an: Wenn reale Kundendaten in Nebenumgebungen oder Change-Prozessen landen, muss das Schutzniveau nicht ungefähr, sondern nachweisbar stimmen.
Die ursprüngliche UODO-Entscheidung macht die Tragweite noch deutlicher. Dort ist von 120.428 offengelegten Datensätzen die Rede; 95.711 Personen mussten nach der späteren Risikobewertung benachrichtigt werden. Außerdem beschreibt die Entscheidung, dass Vertraulichkeit und Sicherheit in einem Umfeld verletzt wurden, in dem personenbezogene Daten für technische Arbeiten in eine zusätzliche Datenbank übernommen wurden. Für DSGVOScan ist genau das der operative Kern: Datenverarbeitung kippt oft nicht im Frontend, sondern in den internen Hilfssystemen, die im Organigramm kleiner wirken als ihr Risiko.
Auftragsverarbeitung endet nicht beim Unterschreiben
Für Unternehmen lässt sich aus dem heutigen Fall deshalb eine klare Lehre ziehen. Art. 28 DSGVO verlangt keine symbolische Dienstleisterprüfung, sondern ausreichende Garantien. Diese Garantien müssen im Zweifel auch später noch belegt werden können. Wer Sicherheitsversprechen vor Vertragsschluss nicht ernsthaft prüft, wer keine sinnvollen Kontrollen über technische Änderungen ausübt und wer mit produktionsnahen Daten in Entwicklungsumgebungen arbeitet, läuft in genau den Korridor hinein, den dieser Fall sichtbar macht.
Praktisch heißt das:
- Auftragsverarbeiter nicht nur nach Zertifikaten, sondern nach realen Entwicklungs-, Test- und Freigabeprozessen prüfen.
- Den Einsatz echter personenbezogener Daten in Test- und Migrationsumgebungen nur in eng begründeten Ausnahmefällen zulassen und technisch besonders absichern.
- Kontrollrechte aus dem Vertrag tatsächlich ausüben, vor allem bei sicherheitsrelevanten Änderungen im System.
- Change-Management, Logging und Sicherheitsabnahmen so dokumentieren, dass sie auch im Aufsichts- oder Incident-Fall nachvollziehbar bleiben.
Der Nachrichtenwert dieses 26. Mai liegt deshalb nicht nur im bestätigten Bußgeld. Wichtiger ist das Signal dahinter: Datenschutzaufsicht und Gerichte schauen bei Auftragsverarbeitung immer genauer auf den tatsächlichen Betriebszustand. Wer Kontrolle über Dienstleister nur behauptet, aber technisch und organisatorisch nicht nachweisen kann, riskiert am Ende nicht nur einen Verstoß des Verarbeiters, sondern die eigene volle Mitverantwortung.
Bildquelle: Pexels
Quellen: UODO, „WSA ponownie potwierdził słuszność decyzji karowej Prezesa UODO w sprawie spółek Fortum i Pika“; UODO, Entscheidung DKN.5130.2215.2020; GRC Report, „Poland’s Supreme Administrative Court Revives GDPR Fines Against Fortum & Pika Over 95,000-Record Breach“.
