DSGVO Bußgeld von 5.000€ für fehlenden Auftragsverarbeitungsvertrag
Nach einer Meldung von heise.de hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit mit Bescheid vom 17.12.2018 gegen das Unternehmen Kolibri Image ein Bußgeld von 5.000,00 Euro wegen fehlendem Auftragsverarbeitungsvertrag verhangen.
1. Sachverhalt
Das Unternehmen beauftragte einen Dienstleister mit Sitz in Spanien mit der Verarbeitung von Kundendaten. Der Dienstleister legte keinen Vertrag zur Auftragsverarbeitung vor. Das Unternehmen fragte zum weiteren Vorgehen bei der Datenschutzbehörde in Hessen an. Diese antwortete, dass die Pflicht zum Abschluss einer solchen Vereinbarung auch den Auftraggeber treffe. Auch dieser sei datenschutzrechtlich verantwortlich. Das Unternehmen müsse daher selbst eine Vereinbarung erarbeiten und dem Dienstleister in Spanien vorlegen.
Kolibri Image antwortete jedoch wiederum, dass dies Pflicht des Dienstleisters sei. Die Anfrage bei der Datenschutzbehörde sei lediglich eine vorsorgliche Maßnahme gewesen.
2. Vorgehen des Hessischen und Hamburgischen Landesbeauftragten für Datenschutz
Die hessische Behörde leitete den Sachverhalt mit Verweis auf die örtliche Zuständigkeit an den Hamburger Datenschutzbeauftragten weiter. Der Hamburger Datenschutzbeauftragte sah bei Kolibri Image einen Verstoß gegen Art. 28 III DS-GVO. Die Vorschrift regelt unter anderem:
„Die Verarbeitung durch einen Auftragsverarbeiter erfolgt auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet und in dem Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sind.“
Die Verarbeitung von personenbezogenen Daten durch einen Dritten darf also nur aufgrund eines zusätzlichen Auftragsverarbeitungsvertrags erfolgen, der weitere Bestimmungen zum Schutz der Daten enthält. Ein solcher Vertrag lag zwischen Kolibri Image und dem Dienstleister nicht vor.ortant;}”]
3. Begründung für das Bußgeld
Wegen des fehlenden Auftragsverarbeitungsvertrages seien daher schützenswerte Daten ohne Rechtsgrundlage übermittelt worden. Der von Kolibri Image vorgebrachte Einwand, der Entwurf eines Vertrags sei Sache des Dienstleisters und eine Übersetzung ins Spanische bei einem eigenen Entwurf würde zu erhöhten Kosten führen, war nach Ansicht des Hamburger Datenschutzbeauftragten nicht mildernd zu berücksichtigen.
Es sei vielmehr verschärfend zu berücksichtigen, dass das Unternehmen trotz Kenntnis der Rechtslage sich vorsätzlich dagegen entschied, rechtskonform zu handeln und von der Beauftragung des Dienstleisters abzusehen.
4. Ausblick
Kolibri Image kündigte einen Widerspruch gegen den Bußgeldbescheid an. Es läge kein Auftragsverarbeitungsverhältnis vor, was von der Behörde nicht geprüft worden sei. Die Frage wann ein solches Verhältnis vorliegt, ist immer wieder im Bereich der DS-GVO streitig.
Maßgeblich ist vor allem, ob die Datenverarbeitung im Auftrag des Verantwortlichen erfolgt oder ob das Unternehmen alleine oder gemeinsam mit einer anderen Stelle über Mittel und Zwecke der Datenverarbeitung entscheidet. Beim Einsatz von externen Dritten ist auch daher auch zu prüfen, wer über Mittel und Zweck der Datenverarbeitung entscheidet.
Sie benötigen eine individuelle Beratung? Stellen Sie hier Ihre Anfrage – wir nehmen mit Ihnen Kontakt auf.
Wir prüfen für Sie, welche Verträge bei Ihrer Datenverarbeitung zur Einhaltung der datenschutzrechtlichen Vorschriften erforderlich sind. Bei Erforderlichkeit erstellen wir die entsprechenden Verträge für Sie.
Ein Muster für einen Auftragsverarbeitungsvertrag finden Sie hier.
Auf der LEWENTO Akademie finden Sie hierzu praxisrelevante und verständliche Webinare. Durch GROSS Rechtsanwaltsgesellschaft mbH kompakt und klar vermittelt.
Autor: GROSS Rechtsanwaltsgesellschaft mbH
Bildnachweis: Pixabay