{"id":43725,"date":"2019-03-01T06:15:35","date_gmt":"2019-03-01T05:15:35","guid":{"rendered":"https:\/\/www.lhr-law.de\/?p=43725"},"modified":"2019-03-01T02:16:06","modified_gmt":"2019-03-01T01:16:06","slug":"vermeintlicher-dsgvo-verstoss-wegen-fehlendem-auftragsverarbeitungsvertrages-hamburger-datenschutzbehoerde-setzt-ein-bussgeld-von-e-5-000-fest","status":"publish","type":"post","link":"https:\/\/www.lhr-law.de\/en\/magazin\/datenschutzrecht\/vermeintlicher-dsgvo-verstoss-wegen-fehlendem-auftragsverarbeitungsvertrages-hamburger-datenschutzbehoerde-setzt-ein-bussgeld-von-e-5-000-fest\/","title":{"rendered":"DSGVO-Versto\u00df wegen fehlendem Auftragsverarbeitungsvertrages: DSB verh\u00e4ngt Bu\u00dfgeld von \u20ac\u00a05.000, –"},"content":{"rendered":"
\"Bu\u00dfgeld
Photo by Tatyana Gladskih<\/figcaption><\/figure>\n

Schlafende Hunde weckt man nicht. Das jedenfalls k\u00f6nnte sich die Gesch\u00e4ftsf\u00fchrung der Colibri Image GbR gedacht haben, als sie den Bu\u00dfgeldbescheid in den H\u00e4nden hielt. <\/em><\/p>\n

Auf eine datenschutzrechtliche Anfrage Colibris reagierte die Datenschutzbeh\u00f6rde \u2013 nach einigem hin und her \u2013 schlie\u00dflich mit der Auferlegung eines Bu\u00dfgeldes. Das Unternehmen habe gegen die Pflicht versto\u00dfen, einen Auftragsverarbeitungsvertrag abzuschlie\u00dfen.<\/em><\/p>\n

Das Problem: Ein Vertrag muss her<\/h2>\n

Wer einen Dienstleister beauftragt, der im Rahmen seiner T\u00e4tigkeit Kundendaten verarbeitet, ist verpflichtet, einen Auftragsverarbeitungsvertrag mit dem Dienstleister zu vereinbaren, Art. 28 Abs. 3 DSGVO<\/a>. Doch was ist zu tun, wenn der Dienstleister jede Kooperation zum Abschluss eines derartigen Vertrages verweigert? Mit diesem Problem sah sich die Firma Colibri Image konfrontiert.<\/p>\n

Das hamburgische Unternehmen nahm einen spanischen Dienstleister f\u00fcr seinen Versandhandel in Anspruch. Dabei versuchte Colibri Image \u2013 laut Angabe auf der unternehmenseigenen Internetseite und heise online \u2013 den spanischen Dienstleister zur Vorlage eines entsprechenden Vertrages zu bewegen, insbesondere sollte er die konkreten Datenverarbeiterungsprozesse darlegen. Das spanische Unternehmen verwies auf die eigene Datenschutzerkl\u00e4rung, lie\u00df Colibri Image aber letztlich keinen Auftragsverarbeitungsvertrag zukommen.<\/p>\n

Der Hund zum Knochen oder der Knochen zum Hund!?<\/h2>\n

Colibri Image wandte sich zur Kl\u00e4rung dieser Frage vertrauensvoll an die Aufsichtsbeh\u00f6rde, den Hessischen Beauftragten f\u00fcr Datenschutz<\/a>.<\/em> Der Watchdog wurde geweckt, er stand auf und bellte ein wenig: Die Pflicht zum Abschluss treffe nicht nur den Dienstleister, sondern auch den Auftraggeber. Beide\u00a0seien datenschutzpflichtig. Komme das spanische Unternehmen seinen Pflichten nicht nach, habe Colibri Image daf\u00fcr Sorge zu tragen, dass ein Vertrag zustande komme. Notfalls habe es einen Vertrag zu entwerfen und dem spanischen Unternehmen zur Unterschrift vorzulegen. Wortmalerisch lie\u00dfe sich das wie folgt ausdr\u00fccken: Unerheblich ist, ob der Hund zum Knochen oder der Knochen zum Hund kommt. Sicher ist, Hund und Knochen geh\u00f6ren zusammen.<\/p>\n

Allerdings sah das hamburgische Unternehmen nicht ein, diejenigen Pflichten nachholen zu m\u00fcssen, die – nach Ansicht der Gesch\u00e4ftsf\u00fchrung – das spanische Unternehmen vers\u00e4umte. Die Erstellung eines Datenverarbeitungsvertrages w\u00e4re mit erheblichen Kosten verbunden und verspreche wenig Erfolg. So m\u00fcsste zun\u00e4chst ein Rechtsexperte einen Vertrag \u00fcber unbekannte Datenverarbeitungsprozesse der spanischen Firma erstellen. Daraufhin m\u00fcsste der Vertrag ins Spanische \u00fcbersetzt werden. Ob das spanische Unternehmen den Vertrag aber letztlich unterzeichnet, bliebe v\u00f6llig offen.<\/p>\n

Sp\u00e4ter schaltete sich der Anwalt von Colibri Image ein: Dieser betonte gegen\u00fcber der Beh\u00f6rde, dass die Anfrage nur vorsorglich erfolgt sei. Eine tats\u00e4chliche Datenverarbeitung durch den Dienstleister k\u00f6nne nicht angenommen werden. Zudem sei die Erstellung eines derartigen Vertrages mit erheblichen Kosten verbunden und grunds\u00e4tzlich nicht m\u00f6glich, da man die Datenverarbeitungsprozesse des spanischen Unternehmens gar nicht kenne.<\/p>\n

Weitergeleitet und zugebissen<\/h2>\n

Der Hund war wach. Nachdem er ein wenig bellte, lag er sich aber gleich wieder hin: Man sei in der Sache gar nicht zust\u00e4ndig, befand die hessische Beh\u00f6rde. Das Unternehmen sei schlie\u00dflich in Hamburg ans\u00e4ssig. Damit wurde der zust\u00e4ndige Hamburger Watchdog\u00a0geweckt. Dieser aber hatte wohl schlecht geschlafen: Unbeeindruckt der Ausf\u00fchrungen des Unternehmens erkannte er einen Versto\u00df gegen die Vertragspflicht und setzte ein Bu\u00dfgeld in H\u00f6he von \u20ac\u00a05.000,- fest (Bu\u00dfgeldbescheid des Hamburgischen Beauftragen f\u00fcr Datenschutz und Informationsfreiheit vom 17.12.2018). Der Anfrage sei eindeutig zu entnehmen, dass eine Datenverarbeitung durch den Dienstleister vorgelegen habe. Die Datenverarbeitung sei unzul\u00e4ssig, da kein entsprechender Datenverarbeitungsvertrag geschlossen worden sei. Der Hund biss zu.<\/p>\n

Die H\u00f6he des Bu\u00dfgeldes bemisst sich auf Grundlage des Art. 83 DSGVO<\/a>. Nach dessen Absatz 2 ist zu ber\u00fccksichtigen, ob der Versto\u00df vors\u00e4tzlich erfolgte. Auch ist ma\u00dfgeblich ob und wie der Datenverarbeiter mit der Aufsichtsbeh\u00f6rde zusammenarbeitet. Hier erkannte die Beh\u00f6rde wohl einen vors\u00e4tzlichen Versto\u00df gegen die DSGVO. Nachdem die hessische Datenschutzbeh\u00f6rde das Unternehmen aufgekl\u00e4rt hatte, wurden keine weiteren Ma\u00dfnahmen zur Behebung etwaiger Verst\u00f6\u00dfe ergriffen. Dies sei mit Wissen und Wollen erfolgt, weshalb von Vorsatz auszugehen sei. Ferner zeige die Auseinandersetzung keine Bereitschaft des Unternehmens, mit der Beh\u00f6rde zur Behebung des Problems zusammenzuarbeiten. Die Beh\u00f6rde habe PDFs zur Verf\u00fcgung gestellt, um einen entsprechenden Vertrag ausarbeiten zu k\u00f6nnen. Dieses Angebot habe das deutsche Unternehmen nicht in Anspruch genommen.<\/p>\n

Wer bei einer Aufsichtsbeh\u00f6rde nachfragt, ist besser gut beraten<\/h2>\n

Nun erging\u00a0erneut<\/a>\u00a0ein Bu\u00dfgeldbescheid wegen vermeintlichen DSGVO-Versto\u00dfes. Dabei ist das Verhalten der Beteiligten nachvollziehbar: Die Datenschutzbeh\u00f6rde schreitet ein, sobald ihr Informationen vorliegen, die einen Versto\u00df nahelegen. Auch ist verst\u00e4ndlich, dass sich die Beh\u00f6rde von der Aussage des Anwaltes \u2013 die Frage stelle sich nur zur Vorsorge \u2013 wenig beeindrucken lie\u00df.<\/p>\n

Verst\u00e4ndlich ist aber auch, dass sich Kleinunternehmen davor scheuen, erhebliche Ausgaben zu t\u00e4tigen, wenn sie wenig Erfolg versprechen. Derartige Kosten sind schlichtweg unwirtschaftlich. Zudem sind beh\u00f6rdliche PDFs oftmals wenig hilfreich: Bei rechtlichen Fragen liegt der Teufel oftmals im Detail. Pauschale L\u00f6sungen helfen da nicht immer weiter.<\/p>\n

Es ist unbefriedigend, eine Gesch\u00e4ftspartnerschaft wegen drohender Bu\u00dfgelder einstellen zu m\u00fcssen. Im europ\u00e4ischen Binnenmarkt kommt es oft zu divergierender Sensibilit\u00e4t hinsichtlich des Umgangs mit Datenschutz. Eine L\u00f6sung etwaiger Probleme erfordert Zeit und Kommunikation. Oft haben sich Gesch\u00e4ftspartnerschaften \u00fcber lange Zeitr\u00e4ume entwickelt. Dabei wurde Vertrauen begr\u00fcndet. Wirkt der Gesch\u00e4ftspartner nun nicht zufriedenstellend mit, zwingt der Beschluss der Hamburger Beh\u00f6rde Unternehmen letztlich zur Aufgabe der gesch\u00e4ftlichen Beziehung. Es m\u00fcssen neue Partnerschaften gesucht werden, welche sich erst zu bew\u00e4hren haben. Dies ist mit Zeit und Aufwand verbunden und letztlich unwirtschaftlich.<\/p>\n

Auch ist \u00e4rgerlich, dass die Auffassung der Beh\u00f6rde nicht auf umfassenden Ermittlungen beruht: Die beh\u00f6rdliche Vermutung beruht auf dem E-Mail-Verkehr mit Colibri Image. Ob tats\u00e4chlich eine Datenverarbeitung durch den Dienstleister erfolgt ist, ist noch nicht bewiesen.<\/p>\n

Schlie\u00dflich ist aber eines klar: Wer schlafende Hunde weckt, muss diesen auch etwas bieten. Anderenfalls besteht die Gefahr, dass zugebissen wird. Insofern sei gewarnt vor Anfragen bei Aufsichtsbeh\u00f6rden. Diese sind zwar in gewissem Ma\u00dfe zur Auskunft verpflichtet. Demgegen\u00fcber m\u00fcssen sie aber auch Einschreiten, wenn sie Verst\u00f6\u00dfe erkennen. Insoweit sei besser Rat von unabh\u00e4ngigen Experten einzuholen, bevor der Aufsichtsbeh\u00f6rde Informationen mitgeteilt werden.<\/p>\n

\n

Lesen Sie hier alle wichtigen Beitr\u00e4ge zur DSGVO:<\/h3>\n