DSGVO: Erstes Bußgeld für fehlenden Vertrag zur Auftragsverarbeitung

Im Vorfeld des Wirksamwerdens der Datenschutz-Grundverordnung haben Unternehmen unzählige Verträge zur Auftragsverarbeitung von Dienstleistern zur Unterschrift vorgelegt bekommen. Wie wichtig der Abschluss einer solchen Vereinbarung ist, zeigt ein Fall aus Hamburg. Nach einem Bericht von heise online https://www.heise.de/newsticker/meldung/DSGVO-5000-Euro-Bussgeld-fuer-fehlenden-Auftragsverarbeitungsvertrag-4282737.html verhängte der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit im Dezember 2018 ein Bußgeld gegen ein Unternehmen, weil es einem Dienstleister personenbezogene Daten zur Verfügung stellt, ohne einen Vertrag zur Auftragsverarbeitung abgeschlossen zu haben.


1. Der Fall

Das Unternehmen arbeitet mit einem Dienstleister zur Vermittlung von Postdienstleistungen zusammen und stellt diesem zur Abwicklung der Aufträge personenbezogene Daten zur Verfügung. Im Zuge der Vorbereitung auf die DSGVO forderte das Unternehmen den Dienstleister zur Vorlage eines Vertrages zur Auftragsverarbeitung auf. Da auf die Aufforderung keine Reaktion erfolgte, bat das Unternehmen eine Datenschutzbehörde um Rat, wie mit diesem Fall umzugehen sei.

Die Antwort der Datenschutzbehörde ließ keinen Zweifel. Der Abschluss einer solchen Vereinbarung sei eine datenschutzrechtliche Grundvoraussetzung für die Einschaltung von Auftragsverarbeitern. Diese Pflicht treffe nicht nur den Auftragnehmer, sondern gerade auch den Auftraggeber als Verantwortlichen im datenschutzrechtlichen Sinne. Die Zusammenarbeit mit Unternehmen, die sich weigern, solche Vereinbarung zu treffen, obwohl die Voraussetzung einer Auftragsverarbeitung vorliegen, müsse zwingend eingestellt werden. Nachdem das Unternehmen sich weigerte, dem Dienstleiser selbst einen Vertrag zur Auftragsverarbeitung zur Verfügung zu stellen, gleichzeitig aber die Zusammenarbeit fortsetzte, erließ die Datenschutzbehörde einen Bußgeldbescheid, in dem ein Bußgeld über EUR 5.000.- festgesetzt wurde.


2. Praktische Auswirkungen

Der Abschluss von Verträgen zur Auftragsverarbeitung wird von vielen Unternehmen als lästige Förmelei empfunden. Der Fall zeigt allerdings, dass die Datenschutzbehörden durchaus prüfen, ob solche Vereinbarungen vorliegen und ggf. aufsichtsrechtliche Maßnahmen einleiten.

Dabei kann die Abgrenzung, ob die Voraussetzungen einer Auftragsverarbeitung vorliegen, mitunter komplex sein. Wir stellen außerdem regelmäßig fest, dass viele von Dienstleistern vorgelegte Verträge zur Auftragsverarbeitung fehlerhaft oder unvollständig sind. Auch dies kann von den Datenschutzbehörden beanstandet werden.

Unternehmen sind daher gut beraten, zu prüfen, ob bei den beauftragten Dienstleistern die Voraussetzungen der Auftragsverarbeitung vorliegen und dies zu dokumentieren. Handelt ein Dienstleister als Auftragsverarbeiter und wurde eine entsprechende Vereinbarung nicht getroffen oder erfüllt sie die gesetzlichen Anforderungen nicht, sollte dies unbedingt nachgeholt werden.

Im vorliegenden Fall war die Anfrage des Unternehmens bei den Datenschutzbehörden Anlass für die Kontrolle. Die Datenschutzbehörden führen jedoch regelmäßig auch anlasslose Kontrollen durch, bei denen auch die Vorlage von Verträgen zur Auftragsverarbeitung verlangt werden kann.

Wenn Sie Fragen zum Datenschutz in Ihrem Unternehmen haben, stehen Ihnen Rechtsanwältin Katharina Mitterer, LL.M und Rechtsanwalt Dr. Florian Rockenbach gerne als Ansprechpartner zur Verfügung.