Bußgeld wegen fehlendem Auftragsverarbeitungsvertrag
Wie das Onlineportal heise.de berichtet, hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit gegen ein kleineres Unternehmen ein Bußgeld von 5.000 EUR wegen fehlendem Auftragsverarbeitungsvertrag mit einem Dienstleister verhängt.
Der Fall zum Auftragsverarbeitungsvertrag:
In der Sache hatte das Unternehmen im Mai 2018 zunächst bei der hessischen Datenschutzbehörde nachgefragt, ob ein Auftragsverarbeitungsvertrag mit einem spanischen Postdienstleister überhaupt erforderlich sei. Der Dienstleister habe trotz Aufforderung einen solchen Vertrag nicht vorgelegt.
Die Datenschutzbehörde antwortete dem Unternehmen, dass auch der Auftragnehmer dafür verantwortlich sei, dass er einen entsprechenden Auftragsverarbeitungsvertrag abschließe. Notfalls müsse er selbst mit einem eigenen Vertragsentwurf dafür sorgen, dass dieser unterzeichnet werde. Dazu verwies die Behörde auf Mustervorlagen auf ihrer Webseite. Daraufhin antwortete das Unternehmen, dass das nicht in Betracht komme: Die technischen, internen Prozesse des Dienstleisters seien unbekannt. Außerdem sei der finanzielle Aufwand zu hoch, denn das Dokument müsste ins Spanische übersetzt werden. Daher sehe man den Dienstleister in der Pflicht, einen Auftragsverarbeitungsvertrag vorzulegen. Daraufhin gab die hessische Datenschutzbehörde die Sache an die zuständige Behörde in Hamburg ab, die dann das Bußgeld wegen der fehlenden Vereinbarung verhängte.
Fazit zum Auftragsverarbeitungsvertrag:
Sicherlich hat das Unternehmen mit seiner ursprünglichen Intention, die Datenschutzbehörde um Hilfe anzurufen, nicht mit einer Sanktionierung gerechnet. Die Behörde hat jedoch für die Einhaltung der datenschutzrechtlichen Vorschriften zu sorgen. Sie hat den Sachverhalt so bewertet, dass eine Auftragsverarbeitung vorliegt (was bei einem Postdienstleister ggf. zweifelhaft ist). Bei einer Auftragsverarbeitung ist der Auftraggeber genauso wie der Auftragnehmer verpflichtet, den gesetzlich vorgesehen Auftragsverarbeitungsvertrag zu schließen. Dies wäre vorliegend sicherlich mit einer englischen Standardvorlage und geringfügigen Anpassungen auch ohne großen Aufwand möglich gewesen. Weigert sich der Dienstleister dennoch, einen solchen Vertrag zu unterschreiben, so bleibt nur ein Anbieterwechsel.
Das Unternehmen hat nun noch die Möglichkeit im Detail zu prüfen, ob im vorliegenden Fall tatsächlich eine Auftragsverarbeitung vorliegt oder ob es sich nicht vielmehr um ein Verhältnis Controller zu Controller handelt. Im letztgenannten Fall könnte ein Rechtsmittel gegen das Bußgeld erfolgversprechend sein.
Das könnte sie ebenfalls interessieren:
FAQ zur Datenschutz-Grundverordnung
FAQ zur Datenschutz-Grundverordnung – DSGVO
Was Unternehmen über das neue EU-Datenschutzrecht wissen müssen
2. aktualisierte Auflage, Oktober 2018, Format 12 x 12 cm, 64 Seiten, pdf-Datei, 1,8 MB