Nachdem anfänglich die Datenschutzaufsichtsbehörden mehr mit der eigenen Organisation nach der Einführung der DSGVO beschäftigt waren, nimmt die Verhängung von empfindlichen Bußgeldern jetzt langsam Fahrt auf.
Bekannt wurde in den letzten Tagen durch einen Bericht im Handelsblatt dass die Behörden nun zunehmend mehr Prüfungen durchführen und auch eine große Anzahl von Bußgeldverfahren anhängig sind.
Wie in der letzten Woche bekannt wurde, hat die französische Aufsichtsbehörde CNIL ein Rekordbußgeld gegen Google in Höhe von Euro 50 Mio. verhängt. Grund ist der Vorwurf gegen Google, dass Informationen für die Nutzer nicht oder nicht ausreichend gewährt wurden.
Nicht minder hart, aber in einer anderen Dimension trifft es ein kleines Versandhandelsunternehmen, das vom Hamburger Datenschutzbeauftragten zur Zahlung von Euro 5.000,- verpflichtet wurde. Grund hier war ein nicht abgeschlossener Auftragsverarbeitungsvertrag zwischen dem Versandhandelsunternehmen und einem spanischen Dienstleister. Dies ergibt sich aus einem Bericht bei Heise Online.
Dieses Bußgeldverfahren will ich noch einmal zum Anlass nehmen um auf die Wichtigkeit des Abschlusses von Auftragsverarbeitungsverträgen mit Ihren Dienstleistern hinzuweisen, wenn Sie personenbezogene Daten im Auftrag verarbeiten lassen. Eines Abschlusses dieser Ihnen vorliegenden Verträge bedarf es immer dann, wenn Sie aus organisatorischen Gründen Datenverarbeitungen von Dritten durchführen lassen.
Typische Auftragsverarbeiter sind:
- Wartungsdienstleister und sonstige EDV-, Telekommunikations- oder IT-Dienstleister mit Fernzugriff auf Ihre Daten,
- externe Rechenzentren,
- E-Mail-Provider,
- Cloud-Anbieter wie Google Drive oder die Dropbox,
- Lohnbuchhaltungsbüros,
- Callcenter zur Kundenbetreuung,
- Agenturen zur Durchführung von Marketingaktionen,
- Lettershops zur Versendung von Werbung,
- Abfallentsorger der Papiere zur Vernichtung erhält, die personenbezogene Daten enthalten.
Keine Auftragsverarbeiter:
- Steuerberater und Anwälte,
- Postdienstleister
- Banken
Zwar sieht Art. 82 Abs. 4 DSGVO eine gemeinsame Haftung des Auftragsverarbeiters und des Auftraggebers gegenüber den Betroffenen vor, sowohl für materielle als auch für immaterielle Schäden (Schmerzensgeld). Nach außen gegenüber dem Betroffenen haften der Verantwortliche und der Auftragsverarbeiter aber grundsätzlich als Gesamtschuldner. Das gibt dem Betroffenen die Wahl, die volle Summe von dem zu verlangen, der ihm am Zahlungskräftigsten erscheint.
Wie sich jedoch bei der Verhängung der Strafe im oben dargestellten Fall zeigt, wird sich sowohl die Aufsichtsbehörde als auch ein möglicher Geschädigter immer an den ihm Naheliegenden also dem heimischen Unternehmer halten.
Auch wenn es zwischen dem Auftraggeber und dem Auftragnehmer einen gesamtschuldnerischen Ausgleichsanspruch gibt, wird es schwer werden, seine Ansprüche gegen den Dritten durchzusetzen, noch zumal, wie hier, wenn der Auftragnehmer im Ausland sitzt.
Ich mache Sie deshalb noch einmal darauf aufmerksam, sich die Situation in Ihrem Unternehmen hinsichtlich der einzelnen Prozesse anzuschauen. Durch den rechtzeitigen Abschluss einer vertraglichen Vereinbarung zur Auftragsverarbeitung verhindern Sie eine Situation wie sie jetzt dem Hamburger Versandhändler schmerzlich vor Augen geführt wurde.
Der Fall zeigt auch, dass die Aufsichtsbehörden sich auch gegen kleine Unternehmen nicht kulant zeigen, wenn ein Verstoß erst einmal auf dem Tisch liegt.
Bitte sprechen Sie mich an, wenn hierzu Unklarheiten bestehen oder Sie unsicher sind, ob ein Auftragsverarbeitungsvertrag abgeschlossen werden muss. Ich setze mich dann gerne mit Ihnen zusammen, um die Prozesse zu prüfen.
Schreibe einen Kommentar