Kleines Unternehmen muss 5.000 Euro DSGVO-Bußgeld zahlen

Kolibri Image ist ein kleines Unternehmen aus Hamburg, welches Imageberatungen für Firmen anbietet. Nun muss Kolibri Image laut Heise gut 5.000 Euro Bußgeld zahlen. Grund hierfür ist die Datenschutzgrundverordnung, kurz DSGVO: Das Unternehmen leitet seine Kundendaten an einen Drittanbieter in Spanien weiter, der diese dann verarbeitet. Dabei handelt es sich um eine sogenannte Auftragsdatenverarbeitung. Nach den Regelungen der DSGVO muss bei der Verarbeitung von personenbezogenen Daten durch einen Auftragsverarbeiter ein Vertrag geschlossen werden, in dem unter anderem festgelegt wird, wie die Daten konkret verarbeitet werden. Kommt man dieser Pflicht nicht nach, drohen bis zu 10.000.000 Euro Bußgeld oder im Fall eines Unternehmens Geldbußen in Höhe von bis zu zwei Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, was von beiden höher ist.

Auftraggeber grundsätzlich auch in der Pflicht

Dieser Rechtsgrundlage ist sich auch Kolibri Image bewusst: Bereits im Mai 2018, also kurz nach Inkrafttreten der Datenschutzgrundverordnung, fragen sie bei der hessischen Datenschutzbehörde nach, berichtet Heise weiter. Das Unternehmen hatte nämlich ein kleines Problem: Trotz mehrfacher Aufforderung wollte der spanische Dienstleister keinen Auftragsdatenverarbeitungsvertrag übersenden. Nach Ansicht der gefragten Behörde sei dies aber laut Heise kein Grund: Die Pflicht, einen solchen Vertrag zu schließen, treffe grundsätzlich beide Seiten. Soll heißen: Wenn der spanische Auftragsverarbeiter keinen Vertrag ausformuliert und versendet, so muss eben Kolibri Image diese Pflicht erfüllen. Zur Unterstützung übersandte die Behörde Vorlagen für solche Verträge an das Unternehmen.

Das sah das Unternehmen aber anders und beauftragte einen Anwalt: Schließlich gehöre in so einen Vertrag die Art und Weise der Verarbeitung, in die es keinen Einblick habe.

Der Fall wurde daraufhin von der hessischen, an die zuständige Behörde in Hamburg weitergegeben. Diese verhängte dann das Bußgeld in Höhe von 5.000 Euro zuzüglich 250 Euro Bearbeitungsgebühr.

Nachfragen kostet

Der Anwalt von Kolibri Image wollte die Sache damit retten, dass die Nachfrage beim hessischen Datenschutzbeauftragten nur rein informatorisch gewesen sei, so Heise weiter. Das wollte die Hamburger Behörde aber nicht glauben: Schließlich wird der spanische Dienstleister als Verarbeiter in der Datenschutzerklärung mit genannt.

Dennoch scheint es, als würde das Unternehmen die Welt nicht mehr verstehen: Man habe nur hilfesuchend um Rat gebeten und lediglich Vorlagen für Auftragsdatenverarbeitungsverträge bekommen. Diese Verträge aber zu formulieren, sei nur schwer möglich, schließlich kenne man die Verarbeitungstechnik bei dem Dienstleister nicht. Die Beauftragung eines Anwalts zum Aufsetzen des Vertrages, sowie dessen anschließende Übersetzung sei unwirtschaftlich und realitätsfern. „Wir sind für Datenschutz, aber so wie es hier gelaufen ist, kann es doch nicht gemeint sein. Hier erweist sich der Datenschutz einen Bärendienst“, wird das Unternehmen von Heise zitiert.