skip to Main Content
Mainz +49 6131 144 560 Berlin +49 30 285 058 56 kanzlei@res-media.net

5000 Euro Bußgeld nach DSGVO festgesetzt wegen fehlendem Auftragsverarbeitungsvertrag mit Dienstleister

Wie das Onlineportal heise.de berichtet, hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit gegen ein kleineres Unternehmen ein Bußgeld von 5.000 EUR wegen fehlendem Auftragsverarbeitungsvertrag mit einem Dienstleister verhängt.

Der Fall:

In der Sache hatte das Unternehmen im Mai 2018 zunächst bei der hessischen Datenschutzbehörde nachgefragt, ob ein Auftragsverarbeitungsvertrag mit einem spanischen Postdienstleister überhaupt erforderlich sei. Der Dienstleister habe trotz Aufforderung einen solchen Vertrag nicht vorgelegt.

Die Datenschutzbehörde antwortete dem Unternehmen, dass auch der Auftragnehmer dafür verantwortlich sei, dass er entsprechende Verträge mit Auftragsverarbeitern abschließe. Notfalls müsse er selbst mit einem eigenen Vertragsentwurf dafür sorgen, dass dieser unterzeichnet werde. Dazu verwies die Behörde auf Mustervorlagen auf ihrer Webseite. Daraufhin antwortete das Unternehmen, dass das nicht in Betracht komme: Die technischen, internen Prozesse des Dienstleisters seien unbekannt. Außerdem sei der finanzielle Aufwand zu hoch, denn das Dokument müsste ins Spanische übersetzt werden. Daher sehe man den Dienstleister in der Pflicht, einen Auftragsverarbeitungsvertrag vorzulegen. Daraufhin gab die hessische Datenschutzbehörde die Sache an die zuständige Behörde in Hamburg ab, die dann das Bußgeld wegen der fehlenden Vereinbarung verhängte.

Fazit:

Sicherlich hat das Unternehmen mit seiner ursprünglichen Intention, die Datenschutzbehörde um Hilfe anzurufen, nicht mit einer Sanktionierung gerechnet. Die Behörde hat jedoch für die Einhaltung der datenschutzrechtlichen Vorschriften zu sorgen. Sie hat den Sachverhalt so bewertet, dass eine Auftragsverarbeitung vorliegt (was bei einem Postdienstleister ggf. zweifelhaft ist). Bei einer Auftragsverarbeitung ist der Auftraggeber genauso wie der Auftragnehmer verpflichtet, die gesetzlich vorgesehen Vereinbarung zu schließen. Dies wäre vorliegend sicherlich mit einer englischen Standardvorlage und geringfügigen Anpassungen auch ohne großen Aufwand möglich gewesen. Weigert sich der Dienstleister dennoch, einen solchen Vertrag zu unterschreiben, so bleibt nur ein Anbieterwechsel.

Das Unternehmen hat nun noch die Möglichkeit im Detail zu prüfen, ob im vorliegenden Fall tatsächlich eine Auftragsverarbeitung vorliegt oder ob es sich nicht vielmehr um ein Verhältnis Controller zu Controller handelt. Im letztgenannten Fall könnte ein Rechtsmittel gegen das Bußgeld erfolgversprechend sein.
Bildnachweis für diesen Blogbeitrag: Romolo Tavani@stock.adobe.com

geschrieben von: Florian Decker

Florian Decker

Florian Decker
Fachanwalt für Informationstechnologierecht (IT-Recht)

 

 

 

RESMEDIA Mainz – Anwälte für IT-IP-Medien
Am Winterhafen 78 | 55131 Mainz
Fon +49 6131 144 56 -0 | Fax +49 6131 144 56 – 20
E-Mail: decker@res-media.net
Internet: www.res-media.net

 

Back To Top