Bußgeld DSGVO – 5.000,00 Euro für fehlenden Auftragsverarbeitungsvertrag

Lesezeit: ca. 4 Minuten

Nach Presseberichten hat die Hamburgische Datenschutzbehörde am 17.12.2018 einen Bußgeldbescheid gegen ein kleines Versandunternehmen übermittelt und ein Bußgeld in Höhe von 5.000,00 Euro zzgl. 250,00 Euro Gebühren festgesetzt. Der Bußgeldbescheid wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) basiert auf Art. 83 Abs. 4 DSGVO und dem Fehlen eines Auftragsverarbeitungsvertrags.

Schonfrist bei Bußgeldern DSGVO vorbei

Es scheint so, dass die Aufsichtsbehörden nunmehr die anfängliche Schonfrist verlassen und Verstöße gegen die DSGVO mit Bußgeldern ahnden. Hier ist schon die deutliche Tendenz festzustellen, dass die Bußgelder höher als die in früheren Zeiten festgelegten Bußgelder sind.

Ausgangspunkt war eine Anfrage des Unternehmens, das nunmehr den Bußgeldbescheid bekommen hat, an den Hessischen Beauftragten für den Datenschutz im Mai 2018. Ein Dienstleister des Unternehmens, der Kundendaten verarbeitet, hatte trotz mehrfacher Anforderungen keinen Vertrag zur Auftragsverarbeitung übersandt.

Das Unternehmen fragte an, wie man sich nunmehr verhalten solle. Die Hessische Datenschutzaufsicht antwortete darauf, dass nicht nur der Dienstleister eine Pflicht habe, eine solche Vereinbarung abzuschließen, sondern auch der Auftraggeber als datenschutzrechtlich Verantwortlicher.

Die Datenschutzaufsicht wies darauf hin, dass das Unternehmen selbst eine entsprechende Vereinbarung zur Auftragsverarbeitung erstellen müsse und dem Auftragsverarbeiter zur Unterschrift übersenden muss. Auf entsprechende Vorlagen der Datenschutzaufsicht wurde verwiesen.

Wenig kooperatives Versandunternehmen

Die Antwort des kleinen Versandunternehmens war wenig kooperativ, was sich nunmehr in Form eines Bußgeldes rächt. Das Unternehmen verwies darauf, dass man sich diese Arbeit (die Erstellung eines Vertrags zur Auftragsverarbeitung) nicht machen wolle und dies für die Pflicht des Vertragspartner und Auftragnehmers halte.

Ein im weiteren Verlauf beauftragte Anwalt wies darauf hin, dass man die Frage ja lediglich vorsorglich gestellt habe, und lehnte erneut ab, eine Vereinbarung zur Auftragsverarbeitung für den Anbieter zu erstellen. Schließlich wisse man die internen Prozesse des Auftragnehmers nicht und wolle auch keine teure Übersetzung in Spanisch vornehmen.

Dann nahmen die Dinge ihren Lauf.

Vertrags zur Auftragsverarbeitung ist Pflicht und nicht Kür

Die Angelegenheit wurde von der Hessischen Datenschutzaufsicht an die Hamburgische Datenschutzaufsicht weitergegeben, die nunmehr den Bußgeldbescheid verfasste. Die Hamburgische Aufsichtsbehörde sah in dem Verhalten des Unternehmens einen Rechtsverstoß und verwies auf Art. 28 Abs. 3 DSGVO. In dieser gesetzlichen Regelung wird ausdrücklich verlangt, dass bei der Verarbeitung von personenbezogenen Daten ein Vertrag zur Auftragsverarbeitung abzuschließen ist.

In einem solchen Vertrag zur Auftragsverarbeitung sind alle Details zu den getroffenen technischen und organisatorischen Maßnahmen sowie weitere Angaben aufzunehmen. Da ein entsprechender Vertrag nicht vorlag, wurde nunmehr das Bußgeld in Höhe von 5.000,00 Euro festgesetzt. Die Ausführungen des Anwalts, dass die Anfrage nur vorbeugend gestellt worden sei, mochte die Hamburger Datenschutzaufsicht nicht glauben.

5.000 EUR Bußgeld wegen Verstoß gegen die DSGVO tun weh

Die personenbezogenen Daten würden ohne Rechtsgrundlage an den Dienstleister übermittelt. Erschwerend kam aus Sicht der Datenschutzaufsicht hinzu, dass hier personenbezogene Daten an einen Dienstleister weitergegeben werden, ohne dass dessen Verarbeitungsprozesse genau bekannt sind.

Dies ist deutlich nicht im Sinne der DSGVO. Letztendlich hätte die Zusammenarbeit wegen des fehlenden Vertrags zur Auftragsverarbeitung eingestellt werden müssen. Dies wollte aber das Versandunternehmen nicht und handelt, nach Auffassung der Aufsichtsbehörde, vorsätzlich. Das Schreiben der Hessischen Datenschutzaufsicht sei weder ernst genommen worden noch habe man weitere Schritte in Betracht gezogen.

Auch die fehlende Zusammenarbeit wirkte sich auf die Höhe des Bußgelds aus. Der Verweis auf hohe Kosten für eine Übersetzung wollte die Aufsicht nicht geltend lassen.

Kritisch äußerte sich das Unternehmen gegenüber heise-online. Man habe ich hilfesuchend an den Datenschutzbeauftragten in Hessen gewandt und nur PDF-Vorlagen bekommen. Der Postdienstleister, den das Versandunternehmen entsprechend beauftragt habe, habe nicht auf entsprechende Anfragen reagiert.

Man habe nunmehr notgedrungen auf die weitere Zusammenarbeit verzichtet, da die Kosten für die Übersetzung und die Beauftragung eines externen IT-Anwalts zu hoch wären.

Was lernen wir daraus?

Aus dem vorliegenden Fall und der Festsetzung eines Bußgelds wegen Verstößen gegen die DSGVO in Höhe von 5.000,00 Euro lässt sich Folgendes ableiten:

  1. Auch mit Anfragen gegenüber der Datenschutzaufsichtsbehörde sollte man als Unternehmen vorsichtig sein. Zwar ist es Aufgabe der Aufsichtsbehörden, Unternehmen und Behörden bei der Umsetzung der DSGVO zu unterstützen. Allerdings sind dann Ratschläge der Aufsichtsbehörde ernst zu nehmen.
  2. Es empfiehlt sich, auch bei den Datenschutzaufsichtsbehörden, eine gewisse Kooperationsbereitschaft an den Tag zu legen. Ein Schreiben an die Aufsichtsbehörde, dass man sich nicht weiter um die Angelegenheit kümmern werde, ist auch im Bereich des Datenschutzes keine gute Idee.
  3. Die Datenschutzaufsichtsbehörden fangen an, auch gegen kleinere Unternehmen, wahrnehmbare Bußgelder festzusetzen. Bereits jetzt ist zu beobachten, dass die Bußgelder sich nicht mehr in dem Rahmen bewegen, wie dieser vor dem Inkrafttreten der Datenschutzgrundverordnung üblicherweise angewandt wurde.

Sollten Sie einen Bußgeldbescheid wegen angeblicher oder tatsächlicher Verstöße gegen die DSGVO erhalten haben, sollten Sie auf jeden Fall einen auf Datenschutz spezialisierten Rechtsanwalt beauftragen.

Es muss genau abgeschätzt werden, welche rechtlichen Aspekte im Rahmen eines Bußgeldverfahrens zu beachten sind, aber auch, welche wirtschaftlichen und kaufmännischen Folgen ein Bußgeldbescheid haben kann. Wir unterstützen bundesweit Unternehmen und Behörden im Umgang mit der Datenschutzaufsicht. Nutzen Sie unsere jahrelange Erfahrung in der Beratung von Datenschutzangelegenheiten.

 
1 Star2 Stars3 Stars4 Stars5 Stars 3 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*

Cookies werden von unserer Seite nur gesetzt, wenn Sie akzeptieren anklicken. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen