5.000 Euro Bußgeld für fehlenden Auftragsverarbeitungsvertrag
Datenschutzbehörden greifen durch
Kürzlich hat die Hamburger Datenschutzbehörde einen Bußgeldbescheid an ein kleines Unternehmen versandt, das keinen Auftragsverarbeitungsvertrag mit einem beauftragten Dienstleister geschlossen hatte.
Ein sogenannter datenschutzrechtlicher Auftragsverarbeitungsvertrag – abgekürzt AVV – muss immer dann geschlossen werden, wenn eine Datenverarbeitung im Auftrag erfolgt. Die Datenschutzgrundverordnung (DSGVO)bringt diesbezüglich einige Neuerungen mit sich.
Mit Dienstleistern muss zwingend ein AVV geschlossen werden
In einem Auftragsverarbeitungsverhältnis stehen sich der Verantwortliche als Auftraggeber und der Dienstleister als Auftragnehmer (= Auftragsverarbeiter) gegenüber. Wenn personenbezogene Daten von Dritten durch den Auftragsverarbeiter gemäß den Weisungen des Auftraggebers verarbeitet werden, spricht man von einer Auftragsverarbeitung. Der Dienstleister unterstützt den Auftraggeber bei der Verarbeitung, Erhebung oder Nutzung der personenbezogenen Daten. Der Auftraggeber trägt jedoch weiterhin die Verantwortung für die Verarbeitung. Der Auftragsverarbeiter tritt quasi als „verlängerter Arm“ des Auftraggebers auf. Typische Beispiele für Auftragsverarbeitung sind IT-Dienstleister, Cloud-Anbieter, Dienste zur Websitenanalyse oder Outsourcing-Dienstleistungen.
Für die ursprüngliche Datenverarbeitung bedarf es einer Rechtsgrundlage des Verantwortlichen. Oft handelt es sich hierbei um eine Einwilligung der betroffenen Person. Da der Auftragsverarbeiter gemäß den Weisungen des Auftraggebers handelt, gilt die Einwilligung auch für solche Vorgänge. Ein Vertrag zwischen dem Verantwortlichen und dem Dienstleister muss allerdings zwingend geschlossen werden.
Die DSGVO stellt inhaltliche Anforderungen an Auftragsverarbeitungsverträge
Art. 28 der Datenschutzgrundverordnung regelt einige Punkte, die jeder Auftragsverarbeitungsvertrag beinhalten muss. So gilt es den Gegenstand und die Dauer des Auftrags im Vertrag festzuhalten. Auch der Umfang, die Art und der Zweck der Datenverarbeitung sowie die Art der verarbeiteten Daten und der Kreis der Betroffenen müssen in einem AVV geregelt werden. Besonders wichtig ist, dass technische und organisatorische Maßnahmen sichergestellt werden. Rechte und Pflichten sowohl des Auftraggebers, als auch des Auftragnehmers sind notwendigerweise auszuarbeiten.
Ob noch weitere in Art. 28 DSGVO genannte inhaltliche Erfordernisse nötig sind, ist eine Frage des Einzelfalls. Es empfiehlt sich daher, jede Datenverarbeitung durch Dritte im Unternehmen zu prüfen und rechtlich bewerten zu lassen, ob und mit welchen Anforderungen ein Auftragsverarbeitungsvertrag (AVV) geschlossen werden muss, um einer Haftung wegen Datenschutzverstößen vorzubeugen.
Fehlende Auftragsverarbeitungsverträge führen zu Bußgeldern
Die DSGVO sieht bei Datenschutzverstößen hohe Bußgelder vor. Hierzu gehört auch das Fehlen einer AVV. Die Sanktionen können eine Höhe von bis zu 20 Millionen Euro oder 4 % des weltweiten Vorjahresumsatzes erreichen. In welcher Höhe ein Bußgeld festgesetzt wird, hängt von der Erheblichkeit des Verstoßes ab und liegt im Ermessen der zuständigen Datenschutzbehörde.
Dass die Behörden nicht davor zurückschrecken, Bußgelder auch gegen kleine und mittlere Unternehmen auszusprechen, zeigt ein aktueller Fall aus Hamburg: Kürzlich wurde ein Unternehmen aufgrund eines fehlenden AVV zu einem Bußgeld verurteilt, nachdem eine Anfrage bei den Datenschutzbehörden eingegangen war.
Das Versandunternehmen Kolibri wurde zur Zahlung eines Bußgeldes in Höhe von 5.000 Euro zzgl. 250 Euro Gebühren aufgefordert, da es mit einem beauftragten Dienstleister keinen Auftragsverarbeitungsvertrag geschlossen hatte. Aufmerksam geworden war die Datenschutzbehörde auf den Fall, weil das Unternehmen selbst sich mit einer Anfrage an den Hessischen Beauftragten für den Datenschutz wandte.
Das betroffene Unternehmen arbeitete nicht mit der Datenschutzbehörde zusammen
Kolibri hatte angemerkt, dass der Dienstleister trotz mehrfacher Aufforderung keinen solchen Vertrag übersandt hatte. Die Aufsichtsbehörde stellte daraufhin klar, dass die Pflicht zum Vertragsschluss sowohl den Auftraggeber als auch den Dienstleister trifft. Daher hätte Kolibri selbst einen AVV verfassen müssen.
Das Unternehmen lehnte es allerdings ab, selbst einen Vertrag aufzusetzen. Der Datenschutzbeauftragte sanktionierte dieses Verhalten. Darüber hinaus verweigerte Kolibri eine Zusammenarbeit mit der der zuständigen Aufsichtsbehörde. Diese hätte sich strafmildernd auswirken können.