Teilen Teilen Kommentare Drucken
Fehlender Auftragsverarbeitungsvertrag

Kleines Unternehmen muss 5.000 Euro DSGVO-Bußgeld zahlen

Veröffentlicht: 21.01.2019 | Autor: Sandra May | Letzte Aktualisierung: 21.01.2019
Zwei Geschäftsmänner verhandeln über einen Vertrag.

Kolibri Image ist ein kleines Unternehmen aus Hamburg, welches Imageberatungen für Firmen anbietet. Nun muss Kolibri Image laut Heise gut 5.000 Euro Bußgeld zahlen. Grund hierfür ist die Datenschutzgrundverordnung, kurz DSGVO: Das Unternehmen leitet seine Kundendaten an einen Drittanbieter in Spanien weiter, der diese dann verarbeitet. Dabei handelt es sich um eine sogenannte Auftragsdatenverarbeitung. Nach den Regelungen der DSGVO muss bei der Verarbeitung von personenbezogenen Daten durch einen Auftragsverarbeiter ein Vertrag geschlossen werden, in dem unter anderem festgelegt wird, wie die Daten konkret verarbeitet werden. Kommt man dieser Pflicht nicht nach, drohen bis zu 10.000.000 Euro Bußgeld oder im Fall eines Unternehmens Geldbußen in Höhe von bis zu zwei Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, was von beiden höher ist.

Auftraggeber grundsätzlich auch in der Pflicht

Dieser Rechtsgrundlage ist sich auch Kolibri Image bewusst: Bereits im Mai 2018, also kurz nach Inkrafttreten der Datenschutzgrundverordnung, fragen sie bei der hessischen Datenschutzbehörde nach, berichtet Heise weiter. Das Unternehmen hatte nämlich ein kleines Problem: Trotz mehrfacher Aufforderung wollte der spanische Dienstleister keinen Auftragsdatenverarbeitungsvertrag übersenden. Nach Ansicht der gefragten Behörde sei dies aber laut Heise kein Grund: Die Pflicht, einen solchen Vertrag zu schließen, treffe grundsätzlich beide Seiten. Soll heißen: Wenn der spanische Auftragsverarbeiter keinen Vertrag ausformuliert und versendet, so muss eben Kolibri Image diese Pflicht erfüllen. Zur Unterstützung übersandte die Behörde Vorlagen für solche Verträge an das Unternehmen.

Das sah das Unternehmen aber anders und beauftragte einen Anwalt: Schließlich gehöre in so einen Vertrag die Art und Weise der Verarbeitung, in die es keinen Einblick habe.

Der Fall wurde daraufhin von der hessischen, an die zuständige Behörde in Hamburg weitergegeben. Diese verhängte dann das Bußgeld in Höhe von 5.000 Euro zuzüglich 250 Euro Bearbeitungsgebühr.

Nachfragen kostet

Der Anwalt von Kolibri Image wollte die Sache damit retten, dass die Nachfrage beim hessischen Datenschutzbeauftragten nur rein informatorisch gewesen sei, so Heise weiter. Das wollte die Hamburger Behörde aber nicht glauben: Schließlich wird der spanische Dienstleister als Verarbeiter in der Datenschutzerklärung mit genannt.

Dennoch scheint es, als würde das Unternehmen die Welt nicht mehr verstehen: Man habe nur hilfesuchend um Rat gebeten und lediglich Vorlagen für Auftragsdatenverarbeitungsverträge bekommen. Diese Verträge aber zu formulieren, sei nur schwer möglich, schließlich kenne man die Verarbeitungstechnik bei dem Dienstleister nicht. Die Beauftragung eines Anwalts zum Aufsetzen des Vertrages, sowie dessen anschließende Übersetzung sei unwirtschaftlich und realitätsfern. „Wir sind für Datenschutz, aber so wie es hier gelaufen ist, kann es doch nicht gemeint sein. Hier erweist sich der Datenschutz einen Bärendienst“, wird das Unternehmen von Heise zitiert.

Über den Autor

Sandra May Experte für IT- und Strafrecht

Sandra schreibt seit September 2018 als juristische Expertin für OnlinehändlerNews. Bereits im Studium spezialisierte sie sich auf den Bereich des Wettbewerbs- und Urheberrechts. Nach dem Abschluss ihres Referendariats wagte sie den eher unklassischen Sprung in den Journalismus. Juristische Sachverhalte anschaulich und für Laien verständlich zu erklären, ist genau ihr Ding.

Sie haben Fragen oder Anregungen?

Kontaktieren Sie Sandra May

Kommentare  

#6 didi 2019-02-10 21:24
DSGVO für'n Po... klar Datenschutz ist wichtig, aber er muss auch realisierbar sein!

Warum nimmt sich die Behörde den Händler vor und nicht den Transportdienst leister? Mehr als einen Vertrag anfordern kann er nicht.

Die kleinen werden bestraft und die großen wie Google, Schufa und Co bleiben ungestraft.
Zitieren
#5 mensch 2019-02-07 15:10
@ Uni 24
Das ist nicht Deutschland, sondern ein Plan der hier verfolgt wird, den Globalismus zu fördern, die Rechtskompetenz en der nicht demokratisch gewählten = diktatorischen EU zu stützen und ein Versuch die Personendaten als Kapital zu sichern. (vor Übernahmen aus dem Nicht EU-Land) Dies geschieht "welt"-weit, alles für die Datensicherheit ... ja das stimmt, nur hierbei geht es um einen riesigen Markt, der mit Personendaten handelt. Die Herrscher über den gemeinen Menschen, nutzen die Person, um zu herrschen.

(siehe Thema Person vs. Mensch und Geburtsurkunden ) Dafür werden die Betriebe missbraucht, um dieser Aufgabe nachzukommen. Daten sichern und die Basisstrukturen zu schaffen... welch Witz und alle machen mit.. wegen einer Verordnung = kein Gesetz.

Die DSGVO ist nichts anderes als eines von vielen Mitteln der Unterjochung und Bevormundung von Menschen und auch eines der Mittel, um das Internet zu kontrollieren.

Wer sich mit der Entstehungsgesc hichte der BRD und insbesondere der EU befasst, der wird sich sicher die Augen reiben.
Zitieren
#4 Mr. E 2019-02-07 14:15
DSGVO Tochter von GEMA
Zitieren
#3 Uni24 2019-01-22 09:32
Das ist Deutschland. Ohne Worte.
Zitieren
#2 K.G 2019-01-22 09:28
Tatsächlich ein Fall der die Stirn runzeln lässt....
Zitieren
#1 diddi 2019-01-21 17:02
DSGVO = Bürokratie ohne Sinn!
Zitieren

Schreiben Sie einen Kommentar

Newsletter
Abonnieren
Bleibe stets informiert mit unserem Newsletter.