Bußgeld bei fehlendem Auftragsverarbeitungsvertrag

Wie wichtig die Schaffung einer vertraglichen Grundlage zwischen dem Verantwortlichen und dem Auftragsverarbeiter im Rahmen der DSGVO ist, zeigt die erstmalige Verhängung eines Bußgeldes. Worauf dabei noch zu achten ist erklärt Privacy Expert Anna Wiesinger im brandaktuellen Evil Legal Video.

Die Einhaltung der Anforderungen und insbesondere die Schaffung einer vertraglichen Grundlage zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Art. 28 Abs. 3 DSGVO ist von großer Bedeutung, dies zeigt die erstmalige Verhängung eines Bußgeldes.

Mein Name ist Anna Wiesinger, ich bin Privacy Expert bei Spirit Legal und ich möchte Ihnen heute die Erstellung eines rechtstreuen Auftragsverarbeitungsvertrages ans Herz legen.

Die rechtstreue Verarbeitung von personenbezogenen Daten ist oft mit sehr viel Aufwand verbunden, deshalb besteht unter Umständen das Interesse der Verantwortlichen darin, die Datenverarbeitung auszulagern und sie an einen Auftragsverarbeiter zu übertragen.

Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, oder Einrichtung, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Klassische Beispiele dafür sind Newsletter-Dienstleister, Datenträgerentsorgung oder die Dienstleistungen von Call Centern.

Der Auftragsverarbeiter ist gegenüber dem Verantwortlichen, dem „Herren der Verarbeitung“ weisungsgebunden. Hat der Auftragsverarbeiter eigene Interessen an den personenbezogenen Daten, scheidet eine Auftragsverarbeitung durch ihn aus.

Dies ist auch der Fall, wenn der Auftragsverarbeiter die ihm zugewiesenen Kompetenzen überschreitet und sich selbst zum Herrn der Verarbeitung macht, indem er die Daten für eigene Zwecke verwendet. Der Auftragsverarbeiter wird dann zum Verantwortlichen und ihn treffen die entsprechenden Pflichten, wie die Haftung gegenüber betroffenen Personen.

Vor dem Einsatz eines Auftragsverarbeiter muss jeder Verantwortliche prüfen, ob dieser auch hinreichende Garantien dafür bieten kann, dass ein ausreichendes Schutzniveau bei der Verarbeitung von personenbezogenen Daten eingehalten wird.

Unter welchen Voraussetzungen eine Auftragsverarbeitung zulässig ist, regelt Art. 28 DSGVO. Da im Rahmen der Auftragsverarbeitung Daten an den Auftragsverarbeiter übermittelt werden, können sich für die Betroffenen gewisse Risiken ergeben.

Ende 2018 wurde bereits ein Bußgeld in Höhe von EUR 5.000,00 wegen eines fehlenden Auftragsverarbeitungsvertrages verhängt. Grund dafür war die fehlende Rechtsgrundlage für die Übermittlung von schützenswerten Daten zwischen dem Verantwortlichen und dem Auftragsverarbeiter.

Art. 28 Abs. 3 DSGVO sieht eine Datenverarbeitung auf Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vor.

Die DSGVO regelt jedoch nicht, ob der Verantwortliche oder der Auftragsverarbeiter auf den Abschluss eines Auftragsverarbeitungsvertrages hinwirken muss.

Grundsätzlich liegt es im beiderseitigen Interesse, eine vertragliche Grundlage für die Datenverarbeitung zu schaffen. Insbesondere muss sich aber der Verantwortliche bewusst sein, dass er sich ohne Abschluss eines Auftragsverarbeitungsvertrag von der Zusammenarbeit mit dem Auftragsverarbeiter distanzieren sollte, um kein Bußgeld zu riskieren.

Auch ist es in der Praxis mitunter sehr schwierig zu bestimmen, wann ein Auftragsverarbeitungsverhältnis nach Art. 28 DSGVO vorliegt oder ob es sich vielleicht um eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO handelt.

Die Kriterien sind dazu in der DSGVO sehr weit gefasst. Auch von den Aufsichtsbehörden werden teilweise unterschiedliche Auffassungen vertreten. Wir raten Ihnen daher jeglichen Datenaustausch vertraglich abzusichern und Verträge nicht ungeprüft zu unterzeichnen.

Falls Sie jetzt Beratungsbedarf für eine rechtstreuen Auftragsverarbeitungsvertrag im Sinne der DSGVO haben, sprechen Sie mich einfach an.