Skip to content
AV-Vertrag und Auftragsdatenverarbeitung nach DSGVO

5.000 Euro Bußgeld für fehlenden Auftragsverarbeitungsvertrag

Die Kolibri Image GbR hat zum Thema AVV eine Anfrage bei den
Aufsichtsbehörden gestellt. Nach einigem hin und her erhielt das Unternehmen
schließlich ein Bußgeldbescheid. Das hamburgische Unternehmen habe sich
geweigert ein Auftragsverarbeitungsvertrag zu erstellen.

Was ist passiert?

Das hamburgische Unternehmen Kolibri Image hat einen in
Spanien ansässigen Versandhandel beauftragt, der für sie Kundendaten
verarbeitet. Dieser habe nach mehrfacher Anfrage keinen Vertrag zur
Auftragsverarbeitung geschickt. Daraufhin habe sich Kolibri Image an die
Aufsichtsbehörden gewandt. Die Behörde antwortete, dass Kolibri Image selbst
der Verantwortliche sei und demnach auch verpflichtet sei, einen
Auftragsverarbeitungsvertrag zu erstellen.

Stellungnahme des betroffenen Unternehmens

Kolibri Image entgegnete, dass sie sich die Arbeit nicht
machen wollen würden. Dies sei zu aufwändig und mit zu hohen Kosten verbunden,
da ein Rechtsexperte benötigt werde und der Vertrag anschließend noch ins
Spanische übersetzt werden müsse.  Zudem
sei es laut Anwalt von Kolibri Image gar nicht möglich einen derartigen Vertrag
zu erstellen, da man die Datenverarbeitungsprozesse des spanischen Unternehmens
gar nicht kenne.

Was sagt die Aufsichtsbehörde?

Die Tatsache, dass schützenswerte Daten ohne Rechtsgrundlage
und Auftragsverarbeitungsvertrag übermittelt worden seien, obwohl die genauen
Verarbeitungsprozesse nicht bekannt seien und somit ein Verstoß gegen die
Vertragspflicht vorliege, rechtfertigen nach Auffassung der Aufsichtsbehörden das
Bußgeld in Höhe von 5.000 Euro. Nachdem die Behörde das Unternehmen zu deren
Anfrage aufgeklärt hatte und entsprechende Dateien zur Ausarbeitung des
Vertrags zur Verfügung stellte, wurden keine weiteren Maßnahmen zur Beseitigung
der Verstöße ergriffen. Kolibri Image habe sich demnach vorsätzlich entschieden,
nicht rechtskonform zu handeln und das Schreiben der Behörde nicht ernst
genommen. Daher könne sich das Verhalten nicht strafmildernd auswirken. Das
Unternehmen habe stattdessen versucht, sich aus der Verantwortung zu ziehen.

Kolibri Image kündigte an, gegen den Bescheid einen
Widerspruch einzulegen.

Die Moral von der Geschicht´? Schlafende Hunde weckt man nicht

Das Verhalten der Beteiligten ist nachvollziehbar. Sobald für
die Behörden zu erkennen ist, dass ein Verstoß gegen die DSGVO vorliegen könnte,
sind sie verpflichtet, einzuschreiten. Verständlich ist auch, dass sich das betroffene
Unternehmen aus wirtschaftlicher Sicht gegen derart hohe Kosten für einen
Vertrag wehren möchte. Aber noch ist nichts sicher. Erst muss bewiesen werden,
ob eine Datenverarbeitung durch den Dienstleister erfolgt ist oder nicht.  Die Auffassungen der Behörde beruhen ärgerlicherweise
nicht auf ausführlichen Ermittlungen, sondern lediglich auf den Schriftverkehr
mit Kolibri Image.

Im Zweifel ist man also besser beraten, wenn man sich an unabhängige Experten wendet, bevor die Aufsichtsbehörde informiert wird. Diese ist zwar verpflichtet auch Auskunft zu erteilen, gleichzeitig müssen sie aber auch einschreiten, wenn Verstöße naheliegen.

Wichtig ist auch, sich seinen Auftragsverarbeiter im Vorfeld sorgfältig auszusuchen und zu prüfen, ob die Vorgaben der DSGVO bei der Datenverarbeitung eingehalten werden.

Dienstleister sorgfältig auswählen

Bevor Sie ein Vertragsverhältnis mit einem Auftragsverarbeiter eingehen, sollten Sie diesen hinsichtlich des Datenschutzes genauer unter die Lupe nehmen und ihn gemäß der EU-Datenschutz-Grundverordnung überprüfen.

  • Werden bei der Verarbeitung im Auftrag die Vorgaben der DSGVO eingehalten werden?
  • Werden ausreichend technische und organisatorische Maßnahmen (TOM) getroffen?

Die Kontrolle kann entweder vor Ort bei dem Dienstleister oder anhand von Unterlagen durchgeführt werden. Auch nach Vertragsabschluss sollten regelmäßig Folgekontrollen erfolgen. Zudem sollten Sie als Auftraggeber immer nach Auftragsverarbeitungsverträgen fragen.

Wann muss ein AV-Vertrag erstellt werden?

Ein Vertrag zur Auftragsverarbeitung ist immer dann zu schließen, wenn personenbezogene Daten durch einen weisungsabhängigen Dienstleister verarbeitet werden. Wenn Sie einen Auftragsverarbeiter beauftragen und die Zwecke und Mittel der Datenverarbeitung festlegen, sind Sie verpflichtet, einen Auftragsverarbeitungsvertrag mit dem Dienstleister abzuschließen. Ob der Verantwortliche oder der Auftragsverarbeiter diesen Vertrag erstellt ist unerheblich. Beide sind datenschutzpflichtig. Was genau in einem AV-Vertrag berücksichtigt werden muss, haben wir in diesem Beitrag zum Thema zusammengefasst.

Weitergabe von Daten zur Verarbeitung in Drittländer

Wenn Daten außerhalb der EU verarbeitet werden, sind besondere Garantien notwendig. Wird mit Geschäftspartnern aus Ländern außerhalb der EU gearbeitet, ist die Rede von sogenannten Drittländern. Eine Weitergabe der Daten an Drittländer ist berechtigt, wenn eine der folgenden Voraussetzungen erfüllt ist:

  • Angemessenheitsbeschluss liegt vor:
    • Angemessen: Andorra, Argentinien, Schweiz, Färöer-Inseln, Guenserney, Isle of Man, Jersey, Neuseeland, Uruguay; US-Unternehmen, die nach dem Privacy-Shield-Abkommen zertifiziert sind
    • Eingeschränkt: Kanada, Israel
  • Kein angemessenes Datenschutzniveau gegeben: Ist kein angemessenes Datenschutzniveau gegeben, müssen geeignete Garantien vorgelegt werden:
    • Genehmigte „Binding-Corporate-Rules“ ( d.h. unternehmensinterne Selbstverpflichtungen)
    • Genehmigte Zertifizierungsverfahren
    • Standarddatenschutzklauseln der Aufsichtsbehörde
  • Weder Angemessenheitsbeschluss noch Garantien liegen vor: Liegt weder ein Angemessenheitsbeschluss noch geeignete Garantien vor, ist eine Weitergabe von personenbezogenen Daten nur unter folgenden Bedingungen zulässig (Art. 49 DSGVO)
    • Einwilligung der Betroffenen liegt vor (Betroffenen müssen über Risiken informiert sein)
    • Datenübermittlung ist zur Vertragserfüllung erforderlich
    • Verfolgung von Rechtsansprüchen

Quellen:

https://t3n.de/news/dsgvo-daten-rechtssicher-weitergeben-853271/ https://www.datenschutzbeauftragter-info.de/bei-aufsichtsbehoerde-angefragt-bussgeld-kassiert/

Schreiben Sie uns:
0251 29794740 Schreiben Sie uns Remote-Desktop download