Unter Geltung der Datenschutz-Grundverordnung (DSGVO) ist jeder, der einen Dienstleister mit der Verarbeitung von Kundendaten beauftragt, verpflichtet, mit diesem einen sogenannten Auftragsdatenverarbeitungsvertrag abzuschließen, Art. 28 Abs. 3 DSGVO. Ein prominentes Beispiel hierfür ist die Nutzung von Google Analytics auf Webseiten, weswegen bei dessen Einsatz ein entsprechender Vertrag mit Google abgeschlossen werden muss. Dies ist ohne Weiteres möglich. Problematisch wird es allerdings dann, wenn sich der Dienstleister weigert, einen Auftragsdatenverarbeitungsvertrag abzuschließen. Mit diesem Fall sah sich vor kurzem ein Unternehmen aus Hamburg konfrontiert.
Dieses griff zur Durchführung seines Versandhandels auf ein spanisches Unternehmen zurück. Aufgrund der Bestimmungen der DSGVO wurde das spanische Unternehmen gebeten, einen Auftragsdatenverarbeitungsvertrag vorzulegen. Dem kam das spanische Unternehmen jedoch nicht nach, sondern verwies lediglich auf die eigene Datenschutzerklärung. Zur Klärung wandte sich das deutsche Unternehmen an den hessischen Datenschutzbeauftragten. Dieser teilte mit, dass sowohl Dienstleister als auch Auftraggeber datenschutzpflichtig seien. Komme das spanische Unternehmen seinen Pflichten nicht nach, habe das deutsche Unternehmen dafür Sorge zu tragen, dass ein Vertrag abgeschlossen werde.
Notfalls müsse ein Vertrag entworfen und dem spanischen Unternehmen zur Unterschrift vorgelegt werden.
Das deutsche Unternehmen wollte allerdings nicht diejenigen Pflichten übernehmen, die eigentlich dem spanischen Unternehmen oblagen. Insoweit vertrat man die Auffassung, dass die Erstellung eines entsprechenden Vertrages extrem kostspielig wäre und wenig Erfolg verspräche. Insbesondere bliebe völlig offen, ob das spanische Unternehmen letztendlich den Vertrag unterzeichnen würde. Auch würde man die Datenverarbeitungsprozesse des spanischen Unternehmens nicht kennen. Zudem sei es noch nicht zu einer tatsächlichen Datenverarbeitung durch den spanischen Dienstleister gekommen.
Kurz darauf befand sich der hessische Datenschutzbeauftragte für unzuständig, da das deutsche Unternehmen in Hamburg ansässig und mithin der dortige Datenschutzbeauftragte zuständig sei. Dieser nahm – entgegen der Ausführungen des deutschen Unternehmens – einen Verstoß gegen die Vertragspflicht aus Art. 28 DSGVO an und verhängte ein Bußgeld in Höhe von 5.000 €. Die Datenverarbeitung sei unzulässig, da kein Auftragsdatenverarbeitungsvertrag abgeschlossen worden sei. Auch sei der Anfrage an den hessischen Datenschutzbeauftragten eindeutig zu entnehmen, dass tatsächlich eine Datenverarbeitung erfolgt sei. Zudem handele es sich auch um einen vorsätzlichen Verstoß, da das deutsche Unternehmen trotz Aufklärung durch die hessische Datenschutzbehörde keinerlei Maßnahmen zur Behebung der Verstöße eingeleitet habe.
Fazit:
Dieser Fall zeigt erneut, dass Datenschutzbehörden bei Verstößen gegen die Verpflichtung, einen Auftragsdatenverarbeitungsvertrag abzuschließen, durchgreifen und Bußgelder verhängen. Zudem wird deutlich, dass sich Unternehmen vor voreiligen und unüberlegten Anfragen bei den Datenschutzbehörden hüten sollten. Es empfiehlt sich in rechtlich unklaren Bereichen stets, das Vorgehen mit einem fachkundigen Rechtsanwalt abzustimmen. Rechtsanwalt Dr. Dennis Groh, LL.M., berät und unterstützt Sie gerne bei allen Fragen rund um das Thema DSGVO.
Dr. Dennis Goh, LL.M.
Fachanwalt für Gewerblichen Rechtsschutz
Clever Str. 16
50668 Köln
Sekretariat: Frau Kulisch
Tel.: 0049-(0)221 / 772 09 21
Fax: 0049-(0)221 / 72 48 89
koeln@leinen-derichs.de