bussgeld-auftragsverarbeitung
Kontakt eher vermeiden? Anfrage eines Unternehmens bei einer Datenschutzbehörde führt zu Bußgeld von 5.000,00 Euro
Die Landesdatenschutzbehörden sind für Fragen der Datenschutzgrundverordnung (DSGVO) zuständig. Dies gilt nicht nur für die Verhängung von Bußgeldbescheiden, sondern auch für die Beantwortung von Einzelfragen zur DSGVO. Das eins zum anderen führen kann, zeigt ein aktueller Fall aus Hamburg. Dort hatte die Datenschutzbehörde im Dezember 2018 einen Bußgeldbescheid von 5.000,00 Euro verhängt. Im weitesten Sinne hatte das betroffene Unternehmen den Bußgeldbescheid durch eine Anfrage an eine Datenschutzbehörde selbst verursacht:
Das Unternehmen hatte im Mai 2018 beim Hessischen Beauftragten für den Datenschutz um Rat gefragt hinsichtlich eines beauftragten Dienstleisters, der Kundendaten verarbeitet, jedoch keinen Vertrag zur Auftragsverarbeitung vorlegte. Die Behörde hatte daraufhin zutreffend mitgeteilt, dass die Verpflichtung eine solche Vereinbarung abzuschließen, nicht nur den Dienstleister, sondern auch das Unternehmen als Auftraggeber als Verantwortlichen treffe.
Das anfragende Unternehmen müsse daher selbst eine entsprechende Vereinbarung verfassen und an den Auftragsverarbeiter zur Unterschrift übersenden.
Ab diesem Zeitpunkt begann die Angelegenheit für das Unternehmen aus dem Ruder zu laufen:
Das Unternehmen stellte sich auf den Standpunkt, sich diese Arbeit nicht machen zu wollen und es würde die Ansicht vertreten, es sei eine Pflicht des Auftragnehmers, eine Auftragsverarbeitungsvereinbarung zu erstellen. Ein beauftragter Rechtsanwalt lehnte die Erstellung einer Vereinbarung, es ging um Postdienstleistungen, ab, da man die internen Prozesse beim Auftragnehmer nicht kennen würde. Hinzu kam eine teure Übersetzung in das Spanische.
Daraufhin gab es von der zuständigen Behörde aus Hamburg einen Bußgeldbescheid über 5.000,00 Euro wegen eines Verstoßes gegen Artikel 28 Abs. 3 DSGVO. Bei einer Auftragsverarbeitung muss ein zusätzlicher Vertrag zum Datenschutz geschlossen werden, der Details zu den getroffenen technischen und organisatorischen Maßnahmen zum Schutz der Daten enthält.
Bei der Bemessung des Bußgeldes wurde es als erschwerende Auswirkung angesehen, dass man mit dem Unternehmen Datenverarbeitungsprozesse aufrecht erhalten habe, obwohl der Inhalt explizit nicht bekannt war. Nach Ansicht der Behörde hätte man zwingend von der Beauftragung des Dienstleisters absehen müssen. Spätestens nach der Auskunft der hessischen Behörde hätte man von der Rechtslage Kenntnis gehabt und sich vorsätzlich dagegen entschieden, rechtskonform zu handeln.
Das Unternehmen hat angekündigt, gegen den Bußgeldbescheid Widerspruch einzulegen.
Nachfragen bei Landesdatenschutzbehörden oder besser nicht?
Die Landesdatenschutzbehörden sollen auch für Rechtssicherheit sorgen und sind bei Zweifelsfragen sicherlich nicht die falschen Ansprechpartner. Auf der anderen Seite zeigt dieser Fall, dass entsprechende Anfragen an die zuständigen Behörden auch nach hinten losgehen können. Wer somit bei einer Behörde zu einer konkreten Situation eine rechtliche Einschätzung haben möchte, muss damit rechnen, dass es Konsequenzen gibt, wenn die Vorgaben der Behörde nicht eingehalten werden.
Dies führt letztlich zu dem Spannungsverhältnis, dass sich Unternehmen es sich zweimal überlegen sollten, wie konkret und unter Schilderung welches konkreten Sachverhaltes Anfragen an Behörden gestellt werden. Allein aus der Anfrage kann sich bereits ergeben, dass das Unternehmen bisher nicht rechtskonform gehandelt hat. Im vorliegenden Fall war die Anfrage im Mai 2018 gestellt worden. In diesem Monat war auch die DSGVO in Kraft getreten. Wer jetzt noch entsprechende Anfragen stellt, aus denen sich von vornherein ergibt, dass seit dem 25.05.2018, dem Datum, zu dem die DSGVO in Kraft trat, rechtliche Vorgaben nicht eingehalten wurden, muss mit einem Bußgeldbescheid rechnen.
Dies gilt erst recht, wenn trotz einer Einschätzung einer Behörde, die einen Handlungsbedarf zur Folge hat, nicht gehandelt wird.
Wir empfehlen daher, bei einer Kontaktaufnahme aus Unternehmersicht mit einer Landesdatenschutzbehörde zurückhaltend zu sein.
Stand: 21.01.2019
Es beraten Sie: Rechtsanwalt Andreas Kempcke
https://ssl-vg03.met.vgwort.de/na/9759414840684a749b0bc24871f7cff7