DSGVO-Bußgelder in Polen: Warum Verantwortliche und Auftragsverarbeiter gleichermaßen in der Pflicht stehen

Im Juni 2025 sorgte eine Entscheidung der polnischen Datenschutzaufsichtsbehörde (UODO) für Aufmerksamkeit: Nach einer gemeldeten Datenschutzverletzung verhängte die Behörde ein Bußgeld von 4,02 Millionen Euro gegen McDonald’s Polska – und zusätzlich 43.680 Euro gegen den eingesetzten Auftragsverarbeiter 24/7 Communication.
Ein Fall, der zeigt: Bei der Auftragsverarbeitung können Verantwortliche nicht einfach sämtliche Verantwortung „outsourcen“.

Was ist passiert?

Bereits 2019 wurde eine Datenpanne gemeldet, deren Ursache in einer fehlerhaften Serverkonfiguration lag. Dadurch waren personenbezogene Daten von Beschäftigten und Franchisenehmern öffentlich einsehbar – darunter:
• Namen
• Identifikations- und Passnummern
• Arbeits- und Urlaubszeiten

Brisant: Auf den Server hatte ausschließlich der Auftragsverarbeiter Zugriff, während McDonald’s den gesamten Prozess – technisch wie organisatorisch – vollständig ausgelagert hatte.

Doch die UODO stellte klar: Auch wenn ein externer Dienstleister eingesetzt wird, Verantwortliche bleiben in der Pflicht.

Wesentliche Erkenntnisse aus dem Verfahren

Der Fall liefert einige wichtige Hinweise für Unternehmen, die auf Auftragsverarbeitung setzen.

Verantwortliche müssen eigene TOMs treffen – dauerhaft

Die Aufsichtsbehörde hob hervor, dass Verantwortliche immer angemessene technische und organisatorische Maßnahmen (TOMs) nach Art. 32 DSGVO sicherstellen müssen.

Und zwar nicht einmalig, sondern als kontinuierlichen Prozess:
• regelmäßige Überprüfung
• Aktualisierung
• Dokumentation

Ein Outsourcing entbindet nicht von dieser Pflicht.

Fehlende Risikoanalyse und keine Audits

Besonders interessant: Der Auftragsverarbeiter berief sich darauf, dass der AV-Vertrag keine weitergehenden Sicherheitsanforderungen enthalte.

Die Behörde stellte jedoch klar:

Die Pflicht zur Gewährleistung eines angemessenen Sicherheitsniveaus ergibt sich direkt aus der DSGVO – und kann vertraglich nicht ausgeschlossen werden.

Fehlender AV-Vertrag mit Unterauftragnehmern

Der Auftragsverarbeiter hatte seinerseits einen Unterauftragnehmer eingebunden – ohne einen erforderlichen AV-Vertrag abzuschließen.
Damit lag ein klarer Verstoß gegen Art. 28 Abs. 2 DSGVO vor.
Zudem ergab sich diese Pflicht bereits aus dem Vertrag mit McDonald’s.

Datenschutzbeauftragte wurden nicht ordnungsgemäß eingebunden

Sowohl McDonald’s als auch der Auftragsverarbeiter haben es versäumt, ihre Datenschutzbeauftragten (DSB) in wichtige Entscheidungen einzubeziehen.
Das stellt einen Verstoß gegen Art. 38 Abs. 1 DSGVO dar.

Beispielsweise war der DSB von McDonald’s:
• weder in die Beurteilung des Auftragsverarbeiters
• noch in die Analyse der Datenverarbeitung
eingebunden.

Fazit: Auftragsverarbeitung ist keine Risikoabwälzung

Dieser Fall macht erneut deutlich:
• Verantwortliche müssen Auftragsverarbeiter nicht nur sorgfältig auswählen, sondern sie auch regelmäßig kontrollieren.
→ Ein nachweisbares Audit ist ein wirksames Mittel.
• TOMs sind von beiden Parteien umzusetzen – unabhängig von Vertragsklauseln.
• Datenschutzbeauftragte sollten frühzeitig und umfassend eingebunden werden.
• Auch Auftragsverarbeiter tragen eigene, unmittelbare DSGVO-Pflichten – insbesondere, wenn Unterauftragnehmer eingebunden werden.

Nicht zuletzt zeigt das Verfahren eindrücklich:
Eine gemeldete Datenpanne kann weitreichende Folgeprüfungen auslösen – bis hin zu Bußgeldern für alle Beteiligten.