+49 69 84840779 kontakt@12webmaster.de

DSGVO: 5000 Euro Bußgeld wegen fehlendem Auftragsverarbeitungsvertrag

von | Feb 10, 2019 | NewsBlog | 0 Kommentare

DSGVO: 5000 Euro Bußgeld wegen fehlendem Auftragsverarbeitungsvertrag

DSGVO: 5000 Euro Bußgeld wegen fehlendem Auftragsverarbeitungsvertrag mit Dienstleister
Nach und nach nimmt die Rechtsprechung zum Thema DSGVO Fahrt auf. Fehlten in den ersten Monaten nach dem Inkrafttreten noch Urteile zum Thema Datenschutzgrundverordnung, war spätestens seit dem Knuddels-Urteil klar: Hier sind noch weitere spannende Urteile zu erwarten.

Erstes Bußgeld-Urteil 2019 gegen Beratungsfirma aus Hamburg

Wenig erstaunlich also, dass es auch 2019 mit dem nächsten Datenschutz-Urteil weiterging. Diesmal traf es Kolibri Image, eine Imageberatung im B2B-Bereich. Die kleine Firma aus Hamburg hatte nach Ansicht der Richter gegen die Datenschutzgrundverordnung verstoßen. Hintergrund des Verstoßes: Die Berater leiteten die Kundendaten an einen externen Dienstleister mit Sitz in Spanien weiter. Dies stellt nach dem Willen des europäischen Gesetzgebers eine Auftragsverarbeitung gem. Art. 28 DSGVO dar. Problematisch war in dem vorliegenden Sachverhalt, dass die Imageberatung keinen Vertrag mit dem spanischen Dienstleister geschlossen hatte. 

Vertrag zur Auftragsverarbeitung ist gem. DSGVO verpflichtend

Einen solchen Vertrag verlangt aber die DSGVO: Demnach muss bei der Verarbeitung von personenbezogenen Daten durch einen außenstehenden Dritten ein entsprechender Vertrag geschlossen werden, in dem unter anderem festgelegt wird, wie die Daten konkret verarbeitet werden. Dies war hier nicht der Fall. Allerdings hatte Kolibri Image nicht vorsätzlich gegen die gesetzlichen Vorschriften verstoßen. Nachweislich hatte das Unternehmen für einen Vertrag zur Auftragsverarbeitung bei den spanischen Kollegen angefragt. Diese hatten sich schlichtweg geweigert, eine solche Vertragsbindung auf den Weg zu bringen.

Um eine verbindliche Lösung für die Konstellation zu erlangen, wandten sich die Hamburger Berater sodann an die zuständige Behörde in Hamburg. Diese stellte sich auf den Standpunkt, dass in diesem Fall die Verantwortung für den Vertrag zur Auftragsverarbeitung den Imageberatern zufällt: Die Tatsache, dass der spanische Auftragsverarbeiter seiner Pflicht nicht nachkomme, sorge nicht dafür, dass diese Pflicht nun auch den deutschen Auftraggeber nicht ebenso treffe. Gleichzeitig stellte die zuständige Behörde Vorlagen für einen Vertrag zur Auftragsverarbeitung zur Verfügung und nahm eine Verletzung der aus der DSGVO resultierenden Pflichten an.

Fazit

Obwohl dem verurteilten Unternehmen der Einblick in die Art und Weise der Verarbeitung durch den spanischen Auftragnehmer fehlte, verurteilte die Hamburger Behörde Kolibri Image zu einem Bußgeld in Höhe von 5000 Euro. Das Unternehmen sieht in dem Urteil eine realitätsferne Rechtsprechung: Nur ein erfahrener IT-Experte hätte einen entsprechenden Vertrag aufsetzen können. Kolibri Image hat gegen das Urteil Widerspruch eingelegt – es bleibt abzuwarten, wie es in der nächsthöheren Instanz weitergeht.


Source: eRecht24