DSGVO-Verstoß wegen fehlendem Auftragsverarbeitungsvertrages: DSB verhängt Bußgeld von € 5.000, –

Schlafende Hunde weckt man nicht. Das jedenfalls könnte sich die Geschäftsführung der Colibri Image GbR gedacht haben, als sie den Bußgeldbescheid in den Händen hielt.

Auf eine datenschutzrechtliche Anfrage Colibris reagierte die Datenschutzbehörde – nach einigem hin und her – schließlich mit der Auferlegung eines Bußgeldes. Das Unternehmen habe gegen die Pflicht verstoßen, einen Auftragsverarbeitungsvertrag abzuschließen.

Das Problem: Ein Vertrag muss her

Wer einen Dienstleister beauftragt, der im Rahmen seiner Tätigkeit Kundendaten verarbeitet, ist verpflichtet, einen Auftragsverarbeitungsvertrag mit dem Dienstleister zu vereinbaren, Art. 28 Abs. 3 DSGVO. Doch was ist zu tun, wenn der Dienstleister jede Kooperation zum Abschluss eines derartigen Vertrages verweigert? Mit diesem Problem sah sich die Firma Colibri Image konfrontiert.

Das hamburgische Unternehmen nahm einen spanischen Dienstleister für seinen Versandhandel in Anspruch. Dabei versuchte Colibri Image – laut Angabe auf der unternehmenseigenen Internetseite und heise online – den spanischen Dienstleister zur Vorlage eines entsprechenden Vertrages zu bewegen, insbesondere sollte er die konkreten Datenverarbeiterungsprozesse darlegen. Das spanische Unternehmen verwies auf die eigene Datenschutzerklärung, ließ Colibri Image aber letztlich keinen Auftragsverarbeitungsvertrag zukommen.

Der Hund zum Knochen oder der Knochen zum Hund!?

Colibri Image wandte sich zur Klärung dieser Frage vertrauensvoll an die Aufsichtsbehörde, den Hessischen Beauftragten für Datenschutz. Der Watchdog wurde geweckt, er stand auf und bellte ein wenig: Die Pflicht zum Abschluss treffe nicht nur den Dienstleister, sondern auch den Auftraggeber. Beide seien datenschutzpflichtig. Komme das spanische Unternehmen seinen Pflichten nicht nach, habe Colibri Image dafür Sorge zu tragen, dass ein Vertrag zustande komme. Notfalls habe es einen Vertrag zu entwerfen und dem spanischen Unternehmen zur Unterschrift vorzulegen. Wortmalerisch ließe sich das wie folgt ausdrücken: Unerheblich ist, ob der Hund zum Knochen oder der Knochen zum Hund kommt. Sicher ist, Hund und Knochen gehören zusammen.

Allerdings sah das hamburgische Unternehmen nicht ein, diejenigen Pflichten nachholen zu müssen, die – nach Ansicht der Geschäftsführung – das spanische Unternehmen versäumte. Die Erstellung eines Datenverarbeitungsvertrages wäre mit erheblichen Kosten verbunden und verspreche wenig Erfolg. So müsste zunächst ein Rechtsexperte einen Vertrag über unbekannte Datenverarbeitungsprozesse der spanischen Firma erstellen. Daraufhin müsste der Vertrag ins Spanische übersetzt werden. Ob das spanische Unternehmen den Vertrag aber letztlich unterzeichnet, bliebe völlig offen.

Später schaltete sich der Anwalt von Colibri Image ein: Dieser betonte gegenüber der Behörde, dass die Anfrage nur vorsorglich erfolgt sei. Eine tatsächliche Datenverarbeitung durch den Dienstleister könne nicht angenommen werden. Zudem sei die Erstellung eines derartigen Vertrages mit erheblichen Kosten verbunden und grundsätzlich nicht möglich, da man die Datenverarbeitungsprozesse des spanischen Unternehmens gar nicht kenne.

Weitergeleitet und zugebissen

Der Hund war wach. Nachdem er ein wenig bellte, lag er sich aber gleich wieder hin: Man sei in der Sache gar nicht zuständig, befand die hessische Behörde. Das Unternehmen sei schließlich in Hamburg ansässig. Damit wurde der zuständige Hamburger Watchdog geweckt. Dieser aber hatte wohl schlecht geschlafen: Unbeeindruckt der Ausführungen des Unternehmens erkannte er einen Verstoß gegen die Vertragspflicht und setzte ein Bußgeld in Höhe von € 5.000,- fest (Bußgeldbescheid des Hamburgischen Beauftragen für Datenschutz und Informationsfreiheit vom 17.12.2018). Der Anfrage sei eindeutig zu entnehmen, dass eine Datenverarbeitung durch den Dienstleister vorgelegen habe. Die Datenverarbeitung sei unzulässig, da kein entsprechender Datenverarbeitungsvertrag geschlossen worden sei. Der Hund biss zu.

Die Höhe des Bußgeldes bemisst sich auf Grundlage des Art. 83 DSGVO. Nach dessen Absatz 2 ist zu berücksichtigen, ob der Verstoß vorsätzlich erfolgte. Auch ist maßgeblich ob und wie der Datenverarbeiter mit der Aufsichtsbehörde zusammenarbeitet. Hier erkannte die Behörde wohl einen vorsätzlichen Verstoß gegen die DSGVO. Nachdem die hessische Datenschutzbehörde das Unternehmen aufgeklärt hatte, wurden keine weiteren Maßnahmen zur Behebung etwaiger Verstöße ergriffen. Dies sei mit Wissen und Wollen erfolgt, weshalb von Vorsatz auszugehen sei. Ferner zeige die Auseinandersetzung keine Bereitschaft des Unternehmens, mit der Behörde zur Behebung des Problems zusammenzuarbeiten. Die Behörde habe PDFs zur Verfügung gestellt, um einen entsprechenden Vertrag ausarbeiten zu können. Dieses Angebot habe das deutsche Unternehmen nicht in Anspruch genommen.

Wer bei einer Aufsichtsbehörde nachfragt, ist besser gut beraten

Nun erging erneut ein Bußgeldbescheid wegen vermeintlichen DSGVO-Verstoßes. Dabei ist das Verhalten der Beteiligten nachvollziehbar: Die Datenschutzbehörde schreitet ein, sobald ihr Informationen vorliegen, die einen Verstoß nahelegen. Auch ist verständlich, dass sich die Behörde von der Aussage des Anwaltes – die Frage stelle sich nur zur Vorsorge – wenig beeindrucken ließ.

Verständlich ist aber auch, dass sich Kleinunternehmen davor scheuen, erhebliche Ausgaben zu tätigen, wenn sie wenig Erfolg versprechen. Derartige Kosten sind schlichtweg unwirtschaftlich. Zudem sind behördliche PDFs oftmals wenig hilfreich: Bei rechtlichen Fragen liegt der Teufel oftmals im Detail. Pauschale Lösungen helfen da nicht immer weiter.

Es ist unbefriedigend, eine Geschäftspartnerschaft wegen drohender Bußgelder einstellen zu müssen. Im europäischen Binnenmarkt kommt es oft zu divergierender Sensibilität hinsichtlich des Umgangs mit Datenschutz. Eine Lösung etwaiger Probleme erfordert Zeit und Kommunikation. Oft haben sich Geschäftspartnerschaften über lange Zeiträume entwickelt. Dabei wurde Vertrauen begründet. Wirkt der Geschäftspartner nun nicht zufriedenstellend mit, zwingt der Beschluss der Hamburger Behörde Unternehmen letztlich zur Aufgabe der geschäftlichen Beziehung. Es müssen neue Partnerschaften gesucht werden, welche sich erst zu bewähren haben. Dies ist mit Zeit und Aufwand verbunden und letztlich unwirtschaftlich.

Auch ist ärgerlich, dass die Auffassung der Behörde nicht auf umfassenden Ermittlungen beruht: Die behördliche Vermutung beruht auf dem E-Mail-Verkehr mit Colibri Image. Ob tatsächlich eine Datenverarbeitung durch den Dienstleister erfolgt ist, ist noch nicht bewiesen.

Schließlich ist aber eines klar: Wer schlafende Hunde weckt, muss diesen auch etwas bieten. Anderenfalls besteht die Gefahr, dass zugebissen wird. Insofern sei gewarnt vor Anfragen bei Aufsichtsbehörden. Diese sind zwar in gewissem Maße zur Auskunft verpflichtet. Demgegenüber müssen sie aber auch Einschreiten, wenn sie Verstöße erkennen. Insoweit sei besser Rat von unabhängigen Experten einzuholen, bevor der Aufsichtsbehörde Informationen mitgeteilt werden.