Wie bekannt wurde hat die polnische Datenschutzaufsichtsbehörde gegen McDonald’s Polska und gegen deren Auftragsverarbeiter 27/7 Communication Bußgelder in Höhe von 4,02 Mio. EUR bzw. 43.680 EUR wegen gravierender Verstöße gegen die DSGVO verhängte.
Infolge einer Server-Fehlkonfiguration waren zahlreiche Beschäftigtendaten öffentlich zugänglich geworden. Weder der Verantwortliche noch der Auftragsverarbeiter hatten Risikobewertungen durchgeführt, angemessene technische und organisatorische Maßnahmen implementiert oder den Datenschutzbeauftragten wirksam einbezogen. Zudem fehlte eine gültige Vereinbarung zur Unterauftragsverarbeitung.
Im Einzelnen war der Vorwurf:
Im Verlauf der Untersuchung stellte die polnische Aufsichtsbehörde fest, dass beide Parteien fortlaufend technische und organisatorische Maßnahmen zur Sicherung der personenbezogenen Daten hätten treffen müssen. Dies wurde jedoch unterlassen, und es fanden weder Risikobewertungen noch Tests oder Anpassungen der Maßnahmen statt. Hinzu kam, dass der Dienstleister einen Subunternehmer ohne den vorgeschriebenen Vertrag einsetzte und der Datenschutzbeauftragte (DPO) nicht ausreichend eingebunden war.
