DSGVO: 5000 Euro Bußgeld für fehlenden Auftragsverarbeitungsvertrag

Bild: dpa, Fabian Sommer

Ein kleines Unternehmen wurde mangels Vertrags zur Auftragsverarbeitung zu einem Bußgeld verurteilt. Auslöser war eine Anfrage bei den Datenschutzbehörden.

Seit Anwendung der DSGVO Ende Mai 2018 gab es nur sehr vereinzelte Fälle von Bußgeldern, die von den Aufsichtsbehörden aufgrund von Verstößen gegen den Datenschutz verhängt wurden. Ein erster Verstoß gegen einen Social Media Anbieter wurde Ende des Jahres bekannt. Es deutet allerdings einiges darauf hin, dass diese anfängliche Schonfrist nun vorbei ist.

In eigener Sache: c't wissen DSGVO

Jetzt bestellen – das c't-Sonderheft zur DSGVO Highlights des Sonderhefts: DSGVO-Praxis von Fachjuristen; was 2019 wirklich wichtig ist; neue Pflichten für Unternehmen; Anforderungen an die IT-Sicherheit; Inklusive Webinar, Kurzpapieren, FAQs, Checklisten.

Ein weiterer Fall wurde nun aus Hamburg bekannt. Dort hatte die Datenschutzbehörde mit Datum vom 17.12.2018 einen Bußgeldbescheid an das kleine Versandunternehmen Kolibri Image versandt und dieses aufgefordert, einen Betrag von 5000 Euro zuzüglich 250 Euro Gebühren zu zahlen. Begründet wird dieser Bescheid nach Art. 83 Abs. 4 DSGVO durch das Fehlen eines Auftragsverarbeitungsvertrags.

Ausgangspunkt für dieses Schreiben war eine E-Mail des Unternehmens an den Hessischen Beauftragten für den Datenschutz im Mai 2018. Darin fragte man um Rat hinsichtlich eines beauftragten Dienstleisters, der Kundendaten verarbeitet, aber trotz mehrfacher Anforderung keinen Vertrag zur Auftragsverarbeitung übersandt hatte. Die Behörde antwortete darauf, dass die Pflicht, eine solche Vereinbarung abzuschließen, nicht nur den Dienstleister, sondern auch den Auftraggeber als datenschutzrechtlich Verantwortlichen treffe. Das Unternehmen solle und müsse daher selbst eine entsprechende Vereinbarung verfassen und an den Auftragsverarbeiter zu Unterschrift schicken. Hierfür gäbe es auch entsprechende Vorlagen auf der Seite der Verwaltung.

Beidseitige Verpflichtungen

Darauf antwortete Kolibri Image, dass man sich diese Arbeit nicht machen wolle und dies für eine Pflicht des Auftragnehmers halte. Anfang November beauftragte man einen Anwalt, der ergänzend ausführte, dass man die Frage lediglich vorsorglich gestellt habe. Den Vorschlag, selbst eine entsprechende Vereinbarung mit dem Anbieter im Bereich der Vermittlung von Postdienstleistungen zu verfassen, lehnte der Anwalt ab, da man die internen Prozesse dort nicht kenne und man die teure Übersetzung für den Anbieter aus Spanien ablehnte. Die Behörde aus Hessen gab daraufhin die Sache an die zuständigen Kollegen aus Hamburg ab, die den heise online vorliegenden Bußgeldbescheid verfassten.

Der Beauftrage aus Hamburg sieht in dem Verhalten des Unternehmens einen Verstoß gegen Art. 28 Abs. 3 DSGVO. Nach dieser Vorschrift muss bei jeder Verarbeitung von personenbezogenen Daten durch einen Dritten ein zusätzlicher Vertrag zum Datenschutz geschlossen werden, der unter anderem Details zu den getroffenen technischen und organisatorischen Maßnahmen zum Schutz der Daten enthält. Eine solche Vereinbarung sei zwischen den Parteien nicht geschlossen worden, obwohl der Postdienstleister im Auftrag Kundendaten verarbeitet habe. Die Ausführungen des Anwalts, die Anfrage in Hessen sei nur vorbeugend erfolgt, wollte man in Hamburg nicht glauben. Dies ergäbe sich unter anderem aus Formulierungen in der ursprünglichen ersten E-Mail sowie aus der Tatsache, dass der Dienstleister als Verarbeiter in der Datenschutzerklärung genannt worden sei.

5000 Euro Geldbuße

Die Geldbuße wurde auf einen Betrag von 5000 Euro festgesetzt. Dies ergebe sich daraus, dass nach Ansicht der Behörde schützenswerte Daten ohne Rechtsgrundlage an den Dienstleister übermittelt wurden. Erschwerend wirke sich aus, dass man diese Praxis aufrechterhalten habe, obwohl dem Unternehmen die Datenverarbeitungsprozesse des Verarbeiters explizit nicht bekannt waren. Auch der Hinweis auf hohe Kosten für eine Übersetzung wirke nicht strafmildernd.

Vielmehr hätte man zwingend von der Beauftragung des Dienstleisters absehen müssen. Man habe aber im Gegenteil spätestens nach der Auskunft aus Hessen von der Rechtslage Kenntnis gehabt und sich vorsätzlich dagegen entschieden, rechtskonform zu handeln. Weder habe man das Schreiben ernst genommen, noch sei die Verwendung der vorgeschlagenen Formulierungshilfe in Betracht gezogen worden. Vielmehr habe man durch widersprüchlichen Vortrag versucht, sich der Verantwortung zu entziehen. Schließlich fehle es auch an einer Zusammenarbeit mit der Behörde, die sich strafmildernd auswirken könne.

Kritik an wirklichkeitsfernen Regelungen

Dirk Maass von Kolibri Image kritisierte gegenüber heise online das Vorgehen der Behörden. Nachdem der Postdienstleister auf seine Anfrage nicht reagiert hatte, habe er sich hilfesuchend an den Datenschutzbeauftragten in Hessen gewandt. Diesem sei nichts anderes eingefallen, als ihn auf einige PDF-Vorlagen zum Download hinzuweisen. Das sei vollkommen realitätsfern, da er naturgemäß nicht wisse, welche Datenprozesse und Verantwortlichkeiten auf Seiten des Auftragnehmers bestehen. Es sei auch nicht realistisch, einen teuren IT-Anwalt zu beauftragen, das Ergebnis anschließend auf eigene Kosten ins Spanische übersetzen zu lassen und dies dann an den Hauptsitz des Auftragsdienstleisters in Madrid zu senden, mit der Aufforderung, doch gefälligst zu unterschreiben. Also habe man notgedrungen auf die weitere Zusammenarbeit verzichtet.

Maass: „Wir sind für Datenschutz, aber so wie es hier gelaufen ist, kann es doch nicht gemeint sein. Hier erweist sich der Datenschutz einen Bärendienst“. Er kündigte an, gegen den Bußgeldbescheid Widerspruch einzulegen. (bme)

1055 Kommentare
Nach oben ↑