Datenschutz: Ohne Auftragsverarbeitungsvertrag droht Bußgeld

Unternehmen müssen mit jedem Dienstleister, der Kundendaten verarbeitet, einen Auftragsverarbeitungsvertrag abschließen. Das sind beispielsweise Abrechnungszentren. Auch wenn sich der Dienstleister weigert, einen Auftragsverarbeitungsvertrag zu erstellen oder zu unterzeichnen, bleibt das auftraggebende Unternehmen haftbar. Das musste nun ein kleines Versandunternehmen aus Hamburg erfahren, das ein Bußgeld in Hohe von 5.000 Euro zuzüglich 250 Euro Gebühren bezahlen soll, weil es laut Datenschutzbehörde gegen die Datenschutzgrundverordnung (DSGVO) verstoßen habe.

Das Versandunternehmen hatte seinen spanischen Dienstleister mehrfach aufgefordert, einen Vertrag zur Auftragsverarbeitung zu erstellen. Da dies nicht erfolgte, wandte sich das Versandunternehmen hilfesuchend an den Hessischen Datenschutzbeauftragten. Dieser wies darauf hin, dass auch der Auftraggeber datenschutzrechtlich verantwortlich sei. Das Unternehmen sei in der Pflicht, einen Vertrag zu erstellen, diesen ins Spanische zu übersetzen und an den Dienstleister zu senden. Der Anwalt des Unternehmens lehnte diese Vorgehensweise ab, da man die internen Prozesse dort nicht kenne und nicht für die Übersetzungskosten bezahlen wolle.

Daraufhin erhielt das Versandunternehmen einen Bußgeldbescheid wegen Verstoßes gegen Art. 28 Abs. 3 DSGVO, der vorschreibt, dass bei jeder Verarbeitung von personenbezogenen Daten durch Dritte ein Auftragsverarbeitungsvertrag vorliegen muss. Die Höhe des Bußgeldes begründete die Behörde unter anderem damit, dass vorsätzlich rechtswidrig gehandelt worden sei. Schließlich habe der Hessische Datenschutzbeauftragte auf die Rechtslage hingewiesen. Es fehle demnach auch an einer Zusammenarbeit mit den Behörden, die sich strafmildernd ausgewirkt hätte.

Bei Fragen zur DSGVO können sich IFK-Mitglieder gerne an das Referat Recht wenden, E-Mail: ifk(at)ifk.de oder Telefon: 0234 97745-0.