DSGVO: 5.000 Euro Bußgeld wegen fehlendem Vertrag zur Auftragsverarbeitung

Eine hamburger Firma hat nach Ansicht der Datenschutzbehörde gegen die Datenschutzverordnung verstoßen. Belangt wurde die Firma wegen eines fehlenden Vertrags zur Auftragsverarbeitung. Der Bußgeldbescheid beruft sich auf Art. 83 Abs. 4 DSGVO und beläuft sich auf 5.000 Euro.

Das Vorspiel

Im Mai 2018 stellte das Unternehmen eine Anfrage an den Hessischen Beauftragten für Datenschutz und bat um Rat. Ein für das Unternehmen tätiger Dienstleister, der Kundendaten verarbeitet, hatte trotz mehrfacher Aufforderung keinen Vertrag zur Auftragsverarbeitung eingereicht. In seiner Antwort wies die Datenschutzbehörde das Unternehmen darauf hin, dass sie als Auftraggeber in der Pflicht stünden und eben selbst eine Vereinbarung zur Auftragsverarbeitung erstellen müssten, die dann dem Dienstleister zur Unterschrift vorgelegt werden solle. Immerhin seien sie datenschutzrechtlich verantwortlich. Ebenso erfolgte der Verweis auf Vorlagen, die von der Datenschutzaufsicht zur Verfügung gestellt werden.

Das Unternehmen wollte dem Rat nicht Folge leisten, da nach eigener Auffassung der Vertragspartner in der Pflicht sei. Auch ein zwischenzeitlich eingeschalteter Anwalt lehnte die Empfehlung der Behörde ab. Als Gründe wurden unter anderem fehlende Kenntnisse der internen Prozesse des Dienstleisters und auch die Kosten für eine Übersetzung genannt, da es sich bei dem Dienstleister um ein spanisches Unternehmen handelte.

Die Folgen

Die hessischen Datenschützer werteten die Reaktionen des Unternehmens als Weigerung DSGVO Normen umzusetzen und gaben den Fall weiter an ihre hamburger Kollegen. Diese erteilten ein Bußgeld in Höhe von 5.000 Euro. Der Vorwurf lautet, dass Kundendaten ohne Rechtsgrundlage an einen Dienstleister übermittelt wurden. Die Zusammenarbeit hätte auf Grund der fehlenden Auftragsverarbeitung gar nicht stattfinden dürfen. Ebenso wurde dem Unternehmen mangelnde Bereitschaft zur Zusammenarbeit unterstellt, da der Empfehlung der hessischen Datenschutzbehörde nicht Folge geleistet wurde.

Das Fazit

Auch kleinere Unternehmen werden nicht von Bußgeldern verschont bleiben. Auch wenn es nur um kleine „Vergehen“ geht, empfiehlt es sich, die Verordnungen der DSGVO strikt zu beachten und sich bei der Umsetzung gegebenenfalls durch einen Anwalt beraten zu lassen. Kooperatives Verhalten bei Kontakt mit den Datenschutzbehörden kann bares Geld sparen.

Die Mitglieder unserer Qualitätsmanagementgruppe (ISO 9001) erhalten von uns sämtliche Formulare und Informationen im Rahmen Ihrer QM Dokumentation.