DSGVO – Bußgeldbescheid wegen fehlendem Auftragsdatenverarbeitungsvertrag

Kürzlich musste ein kleines Hamburger Unternehmen 5.000 Euro Bußgeld zahlen, weil es keinen Auftragsdatenverarbeitungsvertrag geschlossen hat. Die Krux an der Sache: Das Unternehmen hatte den Dienstleister mit Sitz in Spanien mehrmals um einen solchen Vertrag gebeten; diesen aber nicht erhalten. Die Hamburger Datenschutzbehörde lässt das aber nicht als Rechtfertigung durchgehen: Sie sieht auch den Auftraggeber in der Pflicht, einen solchen Vertrag zu schließen. Tut er dies nicht, handelt er entgegen der Datenschutzgrundverordnung und es kann – wie der Fall zeigt – ein Bußgeld verhängt werden.

Wir haben Rechtsanwalt Timo Schoos von der ITB Rechtskanzlei zu dem Thema interviewt.

Wie siehst Du die Sache? Ist die Entscheidung der Behörde überraschend?

Vorab ist festzuhalten, dass der Sachverhalt bisher nur unvollständig bekannt ist. Insbesondere wissen wir nicht genau, welche Dienstleistungen das spanische Unternehmen erbringen sollte beziehungsweise erbracht hat. Daher können wir nicht beurteilen, ob tatsächlich ein Vertrag zur Auftragsverarbeitung notwendig war.

Nimmt man jedoch an, dass hier ein solcher Vertrag notwendig war, ist die Behördenentscheidung keinesfalls überraschend. Denn die Datenschutzgrundverordnung sieht die Pflicht zum Abschluss eines Vertrages zur Auftragsverarbeitung eindeutig sowohl beim Auftraggeber als Verantwortlichem als auch beim Auftragnehmer als Auftragsverarbeiter.

Auftragnehmer und Auftraggeber sind beide in der Pflicht

Wenn beide Seiten die Pflicht zum Abschluss eines Vertrages treffen: Wie kann ich vorgehen, wenn der Auftragsverarbeiter so einen Vertrag nicht schließen möchte?

Strenggenommen dürfen die Parteien die Übermittlung beziehungsweise Verarbeitung der personenbezogenen Daten erst aufnehmen, wenn ein Vertrag zur Auftragsverarbeitung oder eine andere Rechtsgrundlage für die Verarbeitung der Daten durch den Auftragnehmer vorliegt. Will der Auftragnehmer also keinen Vertrag abschließen, sollte man sich darüber bewusst sein, dass die Behörde schon ein Bußgeld verhängen kann.

Sollte der Auftragnehmer aber den Abschluss eines solchen Vertrages zur Auftragsverarbeitung verweigern, sollte man den Auftragsverarbeiter darauf hinweisen, dass auch er den Bußgeldvorschriften der DSGVO unterliegt. Da viele Unternehmen nichts von der beidseitigen Pflicht zum Abschluss wissen, wirkt dieser Hinweis vor allem bei Unternehmen mit Sitz in Deutschland manchmal wahre Wunder. Weigert sich der Vertragspartnern mit Sitz im (europäischen) Ausland, sollte man sich die Frage stellen, ob der vermeintlich günstigere Anbieter aus dem Ausland nicht am Ende des Tages teuer wird.  

Ich als Auftraggeber habe nun einmal keinen Einblick in die Datenverarbeitungsvorgänge des Auftragnehmers. Welche Möglichkeiten habe ich, einen Auftragsdatenverarbeitungsvertrag zu formulieren, der den Anforderungen der DSGVO entspricht?

Auf die konkreten Verarbeitungsvorgänge beim Auftragsverarbeiter kommt es bei der Erstellung eines Vertrages zur Auftragsverarbeitung erst einmal gar nicht an. Denn die Vorgaben des Art. 28 DSGVO sehen eine ganze Reihe von Regelungen und Pflichten vor, die völlig unabhängig von den konkreten Leistungen des Auftragnehmers durch diesen zu einzuhalten sind. Darüber hinaus sollte der Auftraggeber als Verantwortlicher auch stets wissen, welche personenbezogenen Daten an den Auftragnehmer gegeben werden und was dieser mit diesen Daten macht. Dies allein kann häufig genügen einen rechtskonformen Vertrag zur Aufragsverarbeitung zu formulieren.

Handlungsmöglichkeiten nach Bußgeldbescheid

Gesetz dem Fall, es wird nun gegen mich als Auftraggeber ein Bußgeld verhängt. Habe ich eine Möglichkeit, Schadensersatz vom Auftragnehmer zu erhalten?

Grundsätzlich wäre eine Schadensersatzpflicht nach deutschem Recht möglich. Allerdings stellen sich dabei eine ganze Reihe von rechtlichen und praktischen Problemen.

Aus rechtlicher Perspektive ist schon fraglich, ob den Auftraggeber hier nicht ein Mitverschulden für das Bußgeld trifft. Denn der Auftraggeber wusste ja, dass er dem Auftragsverarbeiter ohne Rechtsgrundlage personenbezogene Daten überlässt. Dieses Mitverschulden dürfte den Schadensersatzanspruch jedenfalls erheblich reduzieren.

Im nächsten Schritt stellt sich die Frage, ob man einen solchen Schadensersatzanspruch überhaupt durchsetzen kann, wenn der Vertragspartner seinen Sitz außerhalb Deutschlands hat. Hat der Vertragspartner seinen Sitz außerhalb der Europäischen Union dürfte die Durchsetzung eines Schadensersatzbetrages regelmäßig aufgrund der Prozesskosten im Ausland nicht lohnenswert sein. Doch selbst wenn der Auftragsverarbeiter innerhalb der EU sitzt, dürfte die Geltendmachung eines Schadensersatzanspruches selten wirtschaftlich sinnvoll sein.

Welche Handlungsmöglichkeiten habe ich, wenn ich so einen Bußgeldbescheid bekomme?

Klarstellend sollte festgehalten werden, dass die Behörden nur in seltenen Fällen direkt einen Bußgeldbescheid erlassen. Auch in dem Fall des Hamburger Unternehmens wurde dieses erst zum Abschluss eines Vertrages aufgefordert. Erst als sich dieses weigerte, wurde ein Bußgeldbescheid erlassen.

Sollte dennoch ein Bußgeldbescheid erlassen werden, sollte sorgfältig durch einen Anwalt geprüft werden, ob hier überhaupt ein Vertrag zur Auftragsverarbeitung notwendig ist oder ob nicht eine andere Rechtsgrundlage für die Verarbeitung herangezogen werden kann. Denn die deutschen Behörden sind im europäischen Vergleich sehr weitgehend in ihrer Beurteilung der Frage, wann ein Vertrag zur Auftragsverarbeitung erforderlich ist. Auch die Höhe des Bußgeldes dürfte regelmäßig diskussionswürdig sein.

Interviewpartner

Timo Schoos arbeitet als Rechtsanwalt für die ITB Rechtsanwaltskanzlei mbH in Leipzig. Neben der Vertragsgestaltung gehört das deutsche und europäische Datenschutzrecht zu seinen Fachgebieten. Nachdem er bereits während seines Studiums in Tübingen als Projektmitarbeiter für einen Softwareanbieter tätig war, ist IT-Recht für ihn kein Fremdwort: So betreut er seine Mandaten heute über die ersten Rechtsfragen hinaus bis hin zur Umsetzung vollständiger Geschäftskonzepte.