DSGVO: Erstes Bußgeld für fehlenden Vertrag zur Auftragsverarbeitung

Im Vorfeld des Wirksamwerdens der Datenschutz-Grundverordnung haben Unternehmen unzählige Verträge zur Auftragsverarbeitung von Dienstleistern zur Unterschrift vorgelegt bekommen. Wie wichtig der Abschluss einer solchen Vereinbarung ist, zeigt ein Fall aus Hamburg. Nach einem Bericht von heise online https://www.heise.de/newsticker/meldung/DSGVO-5000-Euro-Bussgeld-fuer-fehlenden-Auftragsverarbeitungsvertrag-4282737.html verhängte der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit im Dezember 2018 ein Bußgeld gegen ein Unternehmen, weil es einem Dienstleister personenbezogene Daten zur Verfügung stellt, ohne einen Vertrag zur Auftragsverarbeitung abgeschlossen zu haben.


1. Der Fall

Das Unternehmen arbeitet mit einem Dienstleister zur Vermittlung von Postdienstleistungen zusammen und stellt diesem zur Abwicklung der Aufträge personenbezogene Daten zur Verfügung. Im Zuge der Vorbereitung auf die DSGVO forderte das Unternehmen den Dienstleister zur Vorlage eines Vertrages zur Auftragsverarbeitung auf. Da auf die Aufforderung keine Reaktion erfolgte, bat das Unternehmen eine Datenschutzbehörde um Rat, wie mit diesem Fall umzugehen sei.

Die Antwort der Datenschutzbehörde ließ keinen Zweifel. Der Abschluss einer solchen Vereinbarung sei eine datenschutzrechtliche Grundvoraussetzung für die Einschaltung von Auftragsverarbeitern. Diese Pflicht treffe nicht nur den Auftragnehmer, sondern gerade auch den Auftraggeber als Verantwortlichen im datenschutzrechtlichen Sinne. Die Zusammenarbeit mit Unternehmen, die sich weigern, solche Vereinbarung zu treffen, obwohl die Voraussetzung einer Auftragsverarbeitung vorliegen, müsse zwingend eingestellt werden. Nachdem das Unternehmen sich weigerte, dem Dienstleiser selbst einen Vertrag zur Auftragsverarbeitung zur Verfügung zu stellen, gleichzeitig aber die Zusammenarbeit fortsetzte, erließ die Datenschutzbehörde einen Bußgeldbescheid, in dem ein Bußgeld über EUR 5.000.- festgesetzt wurde.


2. Praktische Auswirkungen

Der Abschluss von Verträgen zur Auftragsverarbeitung wird von vielen Unternehmen als lästige Förmelei empfunden. Der Fall zeigt allerdings, dass die Datenschutzbehörden durchaus prüfen, ob solche Vereinbarungen vorliegen und ggf. aufsichtsrechtliche Maßnahmen einleiten.

Dabei kann die Abgrenzung, ob die Voraussetzungen einer Auftragsverarbeitung vorliegen, mitunter komplex sein. Wir stellen außerdem regelmäßig fest, dass viele von Dienstleistern vorgelegte Verträge zur Auftragsverarbeitung fehlerhaft oder unvollständig sind. Auch dies kann von den Datenschutzbehörden beanstandet werden.

Unternehmen sind daher gut beraten, zu prüfen, ob bei den beauftragten Dienstleistern die Voraussetzungen der Auftragsverarbeitung vorliegen und dies zu dokumentieren. Handelt ein Dienstleister als Auftragsverarbeiter und wurde eine entsprechende Vereinbarung nicht getroffen oder erfüllt sie die gesetzlichen Anforderungen nicht, sollte dies unbedingt nachgeholt werden.

Im vorliegenden Fall war die Anfrage des Unternehmens bei den Datenschutzbehörden Anlass für die Kontrolle. Die Datenschutzbehörden führen jedoch regelmäßig auch anlasslose Kontrollen durch, bei denen auch die Vorlage von Verträgen zur Auftragsverarbeitung verlangt werden kann.

Wenn Sie Fragen zum Datenschutz in Ihrem Unternehmen haben, stehen Ihnen Rechtsanwältin Katharina Mitterer, LL.M und Rechtsanwalt Dr. Florian Rockenbach gerne als Ansprechpartner zur Verfügung.




BAG: Hinausschieben des Beendigungszeitpunktes bei Erreichen der Regelaltersgrenze/BAG: Postponement of the termination date when the statutory retirement age in the statutory pension insurance is reached

Nach der zum 01.07.2014 eingeführten Vorschrift des § 41 S. 3 SGB VI können die Arbeitsvertragsparteien während des Arbeitsverhältnisses, das auf das Erreichen der Regelaltersgrenze in der gesetzlichen Rentenversicherung befristetet ist, den Beendigungszeitpunkt zeitlich hinausschieben, ggf. auch mehrfach. Der Sache nach enthält diese Vorschrift somit einen Sachgrund außerhalb des Teilzeit- und Befristungsgesetzes, der eine Befristung des Arbeitsverhältnisses rechtfertigt. Gegen die Wirksamkeit einer solchen Befristung wurden in der Literatur zum Teil aus europarechtlicher Sicht erhebliche Bedenken geäußert, insbesondere wegen der uneingeschränkten Verlängerungsmöglichkeit. […]
mehr →




Gesetzgebung: Verordnung über maßgebende Rechengrößen der Sozialversicherung für 2019 / Legislation: Regulation on calculation base for social security contributions in 2019

Zum 01.01.2019 tritt die neue Sozialversicherungs-Rechengrößenverordnung 2019 in Kraft. Darin wer­den die für Bezugsgrößen und die Beitragsbemes­sung in der Sozialversicherung relevanten Obergren­zen festgelegt. […]
mehr →




BAG: Microsoft Excel als technische Überwachungseinrichtung / BAG: Microsoft Excel as technical monitoring device

Auch der Einsatz alltäglicher Standardsoftware wie die Tabellenkalkulation Microsoft Excel kann das Mitbestimmungsrecht des Betriebsrats aus § 87 Abs. 1 Nr. 6 BetrVG auslösen. Bereits die Nutzung softwarebasierter   Personalverwaltungssysteme unterliegt der Mitbestimmung, sodass es nicht im Detail auf die eingesetzte Software ankommt. Auch sieht das Gesetz keine „Erheblichkeits- oder Üblichkeitsschwelle“ vor, deren Überschreiten für das Mitbestimmungsrecht erforderlich wäre. […]
mehr →