Ein fehlender Auftragsverarbeitungs-Vertrag kostete einem kleinm Unternehmen ein Bußgeld von 5000€ seitens der Behörden. Der Auslöser war wohl eine vorangegangene Anfrage bei den Behörden.
BEFÜRCHTETE ABMAHNWELLE HIELT SICH IN GRENZEN
Mit dem Start der DSGVO im Mai 2018 gingen viele Experten der Branche davon aus, dass eine private Abmahnwelle sich über die EU ergießen würde. Doch die befürchteten Abmahnungen durch zwielichtige Kanzleien und „Spezialisten“ blieb bis jetzt aus. Jedoch waren bis heute vor allem die Behörden, was Bußgelder betrifft, sehr aktiv.
VERSANDUNTERNEHMEN ERHÄLT STRAFE DER BEHÖRDEN
In Hamburg wurde ein kleines Versandunternehmen mit einem Bußgeld von 5000€ inkl. 250€ Bearbeitungsgebühr belegt. Die Begründung seitens der Behörden bezieht sich auf die Verletzung von Art.83 Abs.4 DSGVO. Das Fehlen eines Auftragsverarbeitungsvertrags gilt somit als Bußgeldfähig.
Ausgangspunkt war wohl eine E-Mail des Unternehmens an den hessischen Beauftragten für den Datenschutz im Mai 2018. Darin fragte man um Rat hinsichtlich eines beauftragten Dienstleisters, der Kundendaten verarbeitet, aber trotz mehrfacher Anforderung keinen Vertrag zur Auftragsverarbeitung übersandt hatte. Die Behörde antwortete darauf, dass die Pflicht, eine solche Vereinbarung abzuschließen, nicht nur den Dienstleister, sondern auch den Auftraggeber als datenschutzrechtlich Verantwortlichen treffe. Das Unternehmen solle und müsse daher selbst eine entsprechende Vereinbarung verfassen und an den Auftragsverarbeiter zu Unterschrift schicken. Hierfür gäbe es auch entsprechende Vorlagen auf der Seite der Verwaltung.
VERPFLICHTUNG TRIFTT BEIDE SEITEN
Darauf antwortete das Unternehmen, dass man sich diese Arbeit nicht machen wolle und dies für eine Pflicht des Auftragnehmers halte. Anfang November beauftragte man einen Anwalt, der ergänzend ausführte, dass man die Frage lediglich vorsorglich gestellt habe. Den Vorschlag, selbst eine entsprechende Vereinbarung mit dem Anbieter im Bereich der Vermittlung von Postdienstleistungen zu verfassen, lehnte der Anwalt ab, da man die internen Prozesse dort nicht kenne und man die teure Übersetzung für den Anbieter aus Spanien ablehnte. Die Behörde aus Hessen gab daraufhin die Sache an die zuständigen Kollegen aus Hamburg ab.
Der Beauftrage aus Hamburg sieht in dem Verhalten des Unternehmens einen Verstoß gegen Art. 28 Abs. 3 DSGVO. Nach dieser Vorschrift muss bei jeder Verarbeitung von personenbezogenen Daten durch einen Dritten ein zusätzlicher Vertrag zum Datenschutz geschlossen werden, der unter anderem Details zu den getroffenen technischen und organisatorischen Maßnahmen zum Schutz der Daten enthält. Eine solche Vereinbarung sei zwischen den Parteien nicht geschlossen worden, obwohl der Postdienstleister im Auftrag Kundendaten verarbeitet habe. Die Ausführungen des Anwalts, die Anfrage in Hessen sei nur vorbeugend erfolgt, wollte man in Hamburg nicht glauben. Dies ergäbe sich unter anderem aus Formulierungen in der ursprünglichen ersten E-Mail sowie aus der Tatsache, dass der Dienstleister als Verarbeiter in der Datenschutzerklärung genannt worden sei.
HÖHE DER GELDBUßE
Die Geldbuße wurde auf einen Betrag von 5000 Euro festgesetzt. Dies ergebe sich daraus, dass nach Ansicht der Behörde schützenswerte Daten ohne Rechtsgrundlage an den Dienstleister übermittelt wurden. Erschwerend wirke sich aus, dass man diese Praxis aufrechterhalten habe, obwohl dem Unternehmen die Datenverarbeitungsprozesse des Verarbeiters explizit nicht bekannt waren. Auch der Hinweis auf hohe Kosten für eine Übersetzung wirke nicht strafmildernd.
Vielmehr hätte man zwingend von der Beauftragung des Dienstleisters absehen müssen. Man habe aber im Gegenteil spätestens nach der Auskunft aus Hessen von der Rechtslage Kenntnis gehabt und sich vorsätzlich dagegen entschieden, rechtskonform zu handeln. Weder habe man das Schreiben ernst genommen, noch sei die Verwendung der vorgeschlagenen Formulierungshilfe in Betracht gezogen worden. Vielmehr habe man durch widersprüchlichen Vortrag versucht, sich der Verantwortung zu entziehen. Schließlich fehle es auch an einer Zusammenarbeit mit der Behörde, die sich strafmildernd auswirken könne.
KRITIK AM VORGEHEN DER BEHÖRDEN
Kritik wird hier laut, da der Verantwortliche des straffälligen Unternehmens sich hilfesuchend an den hessischen Beauftragten gewandt hatte. Auch wird argumentiert, dass der Postdienstleister nicht auf das Schreiben reagierte. Der hessischen Behörde sei nichts aufgefallen und hätte das Unternehmen – zumindest aus ihrer Sicht – auf die Problematik und vor allem auf ein eventuelles Bußgeld hinweisen müssen. Das sei vollkommen realitätsfern, da er naturgemäß nicht wisse, welche Datenprozesse und Verantwortlichkeiten auf Seiten des Auftragnehmers bestehen. Es sei auch nicht realistisch, einen teuren IT-Anwalt zu beauftragen, das Ergebnis anschließend auf eigene Kosten ins Spanische übersetzen zu lassen und dies dann an den Hauptsitz des Auftragsdienstleisters in Madrid zu senden, mit der Aufforderung, doch gefälligst zu unterschreiben. Also habe man notgedrungen auf die weitere Zusammenarbeit verzichtet.