Zur Navigation springen Zum Inhalt springen Zum Footer springen

DSGVO: schon 5.000 Euro Bußgeld ohne Vertrag

Rechtstipp vom 23.02.2019
Rechtstipp vom 23.02.2019

Die Schonfrist ist vorbei. Nun trifft es auch kleine Unternehmen. Mangels Vertrags zur Auftragsverarbeitung hat eine Datenschutzbehörde gegen einen kleinen Betrieb 5.000 Euro Bußgeld verhängt. Was war passiert?

Der Fall

Die Datenschutzbehörde Hamburg hat einen Bußgeldbescheid an das kleine Versandunternehmen Kolibri Image versandt und dieses aufgefordert, einen Betrag von 5.000 Euro zuzüglich 250 Euro Gebühren zu zahlen. Begründet wird dieser Bescheid nach Art. 83 Abs. 3 DSGVO mit dem Fehlen eines Auftragsverarbeitungsvertrags. 

Kolibri Image hatte im Mai 2018 beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit in eigener Initiative um Rat gebeten.

Ein vom Unternehmen beauftragter, in Spanien ansässiger Dienstleister, verarbeite Kundendaten.

Trotz mehrfacher Aufforderung habe der beauftragte Dienstleister jedoch keinen Vertrag zur Auftragsverarbeitung übersandt. Nun sei man sich unsicher, wie man darauf reagieren solle. Die zuständige Behörde hat geantwortet, dass Kolibri Image selbst nach der DSGVO Verantwortlicher sei. Das Unternehmen treffe deshalb ebenfalls eine Pflicht, eine entsprechende Vereinbarung zu erwirken und an den Dienstleister zur Unterschrift zu übersenden.

Demnach muss bei der Verarbeitung von personenbezogenen Daten durch einen außenstehenden Dritten ein entsprechendes Vertragsverhältnis bestehen, welches unter anderem festlegt, wie die Daten konkret verarbeitet werden. Dies war hier nicht der Fall. Die schließlich zuständige Behörde aus Hamburg sah hierin einen Verstoß gegen Art. 28 Abs. 3 DSGVO.

Begriff des Auftragsverarbeiters

Auftragsverarbeiter ist nach Art. 4 Nr. 8 DSGVO eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Verantwortlicher ist gemäß Art. 4 Nr. 7 DSGVO die Stelle, die allein oder gemeinsam mit anderen über die Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet.

Die Anforderungen an einen Vertrag über die Auftragsdatenverarbeitung personenbezogener Daten sind durch die Datenschutz-Grundverordnung (DSGVO) erheblich gestiegen. Die Haftung im Umgang mit personenbezogenen Daten hat sich im Vergleich zu den bisherigen Regelungen enorm erhöht.

Zur Erläuterung: Auftragsverarbeitung liegt zum Beispiel vor

  • beim Outsourcen personenbezogener Datenverarbeitung an
  • Cloud-Anbieter z. B. für E-Mail-Dienste, Newsletter-Versand oder Backup-Lösungen
  • bei der Nutzung von Google-Analytics: Fast jede Homepage nutzt heute Analysemethoden, um die Nutzung

einzelner Seiten prüfen und verbessern zu können. Dazu dienen Statistik-Tools („Web Analytics“) die jede Bewegung des Web-Surfers genau verfolgen („Web Tracking“), so auf welcher Seite mit welchen Inhalten der Nutzer einen Display-Klick vorgenommen hat, über welche Adwords- und Klicks er zu welcher Preissuchmaschine und schließlich zum Online-Shop gelangt.

Bei der Datenträgerentsorgung durch Dienstleister 

Eine Auftragsverarbeitung liegt auch vor, wenn z. B. der Verantwortliche das Löschen von personenbezogener Daten in Form von Unkenntlichmachung gespeicherter Daten durch einen Dienstleister veranlasst. Datenträger sind mit schützenswerten Informationen so zu löschen bzw. zu vernichten, dass ihr Inhalt nicht rekonstruiert werden kann. Schützenswert sind neben personenbezogenen Daten auch unternehmensinterne Daten wie zum Beispiel Reporte und Kennzahlen.

Vertrag zur Auftragsverarbeitung verpflichtend!

Art. 28 Abs. 3 Datenschutz-Grundverordnung (DSGVO) gibt inhaltliche Mindestanforderungen für einen sog. Auftragsverarbeitungsvertrag vor. So muss dieser unter anderem enthalten,

  • welche Art von personenbezogenen Daten verarbeitet werden sowie
  • was Gegenstand und was Zweck der Verarbeitung sind.

Beispielsweise muss ein Vertrag auch die Einhaltung besonderer Bedingungen für den Einsatz von Subunternehmern regeln. Unter anderem muss der Vertrag außerdem vorsehen, dass der Auftragsverarbeiter die gemäß Art. 32 DSGVO erforderlichen Maßnahmen ergreift. Da der Verantwortliche für die Rechtmäßigkeit der Verarbeitung insgesamt verantwortlich ist und bleibt, ist weiterhin anzuraten, die mindestens erforderlichen technischen und organisatorischen Maßnahmen darzustellen.

Ein Auftragsverarbeitungsvertrag muss nach der DSGVO also jedes Unternehmen, ob klein oder groß abschließen, das personenbezogene Daten durch einen weisungsabhängigen Dienstleister verarbeiten lässt.

Folgen bei Verstößen

Unser Rat: Berücksichtigen Sie die umfassenden Vorschriften über Geldbußen in Art. 83 Abs. 4, 5 und 6 DSGVO

(bei Verstößen gegen die Vorgaben des Art. 28 DSGVO können Geldbußen von bis zu 10.000.000 Euro oder bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres eines Unternehmens verhängt werden). Diese Sanktionen können bei Verstößen nicht nur den Verantwortlichen selbst, sondern auch den Auftragsverarbeiter treffen,

z. B. bei Verstößen des Auftragsverarbeiters gegen seine Verpflichtungen aus Art. 28 Abs. 2 bis 4 DSGVO.

Übrigens hat der Landesdatenschutzbeauftragte Baden-Württemberg, Dr. Stephan Brink, unangekündigte Überprüfungen angedroht. 2019 werde das Jahr der Kontrolle, sagte Brink.

Dieser Hinweis ist ernst zu nehmen!


Sie haben Fragen? Gleich Kontakt aufnehmen!

Rechtstipps zum Thema

Rechtstipps des Autors

Damit Sie wissen, wann Sie im Recht sind

Neue Urteile, hilfreiche Tipps und Kurioses im wöchentlichen anwalt.de-Newsletter.