Auftragsverarbeitungsvertrag fehlt: 5.000 Euro Bußgeld

Auftragsverarbeitungsvertrag fehlt: 5.000 Euro Bußgeld

Die Datenschutzbehörde in Hamburg hat kurz vor Weihnachten einen Bußgeldbescheid an ein kleines Versandunternehmen zugestellt. Das Unternehmen muss 5.000 Euro Bußgeld und 250 Euro Gebühren zu zahlen. Grund: Fehlen eines Auftragsverarbeitungsvertrags.

Dabei hatte das Unternehmen selbst den Vorgang angestoßen. Per E-Mail wurde der Hessische Datenschutzbeauftragte gefragt. Denn ein Unternehmen, das Kundendaten des Versandunternehmens verarbeitet, hatte trotz mehrfacher Anforderung keinen Vertrag zur Auftragsverarbeitung (Artikel 28 DSGVO) übersandt.

Die Datenschutzbehörde teilte mit, dass die Pflicht, eine solche Vereinbarung abzuschließen, nicht nur den Dienstleister, sondern auch den Auftraggeber treffe. Das Unternehmen müsse daher in eigenem Interesse dafür sorgen, dass ein entsprechender Vertrag nach Artikel 28 DSGVO geschlossen wird. Das Unternehmen aber wollte sich diese Arbeit nicht machen. Es sei Pflicht des Auftragnehmers sich darum zu kümmern. Schlauerweise wurde das so auch der Datenschutzbehörde mitgeteilt.

Die Hessische Behörde gab daraufhin die Sache nach Hamburg ab. Dort sieht man in dem Verhalten des Unternehmens einen Verstoß gegen Art. 28 Abs. 3 DSGVO. Denn bei jeder Verarbeitung von personenbezogenen Daten durch einen Dritten muss ein Vertrag zur Regelung dieser Auftragsverarbeitung geschlossen werden. Dort sind Weisungsrechte oder auch die vom Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zum Schutz der Daten zu regeln.

Die Geldbuße wurde auf 5.000 Euro festgesetzt. Denn es wurden schützenswerte Daten ohne Rechtsgrundlage übermittelt. Erschwerend wirke sich aus, dass man diese Praxis aufrechterhalten habe, obwohl dem Unternehmen die Datenverarbeitungsprozesse des Verarbeiters nicht bekannt waren. Man hätte daher zwingend von der Beauftragung des Dienstleisters absehen müssen.

Fazit

Die Einschläge nach DSGVO werden also häufiger. Jedes Unternehmen tut gut daran zu prüfen, ob alle Anforderungen schon erfüllt werden.

Zum Thema Auftragsverarbeitung sieht man hier sehr gut, dass es Aufgabe beider Unternehmen ist, die personenbezogene Daten austauschen, für einen Vertrag zur Regelung der Datenverarbeitung zu sorgen. Sonst wird es teuer.

Was ist zu tun?

Wenn Sie also Daten, für Sie Sie verantwortlich sind, in andere Hände geben, müssen Sie erst prüfen, ob es sich um ein sorgfältig und sicher arbeitendes Unternehmen handelt. Wird die Einhaltung der DSGVO nicht so eng gesehen, ist die Frage der Sorgfalt schon beantwortet. Die Devise lautet dann: Finger weg. Suchen Sie sich einen anderen Dienstleister.

Geht es bis dahin gut, dann müssen Sie einen Vertrag nach Artikel 28 DSGVO schließen. Bitte stellen Sie auch sicher, dass er auf die Datenverarbeitung passt. Bloß ein Muster aus dem Internet zu laden, reicht auf keinen Fall.

Erst wenn das alles geklärt ist, dürfen die Daten fließen. Stellen Sie also fest, dass Ihr Dienstleister nicht bereit ist einen Vertrag zur Auftragsverarbeitung zu schließen, dann müssen Sie die weitere Zusammenarbeit schlicht beenden. Alles andere ist nicht zu empfehlen.

Sie brauchen Unterstützung? Wir sind pezialisiert auf Datenschutzrecht.
Nehmen Sie Kontakt mit uns auf.

Timo Schutt
Rechtsanwalt
Fachanwalt für IT-Recht