Die Hamburgische Datenschutzaufsicht erließ am 17.12.2018 einen Bußgeldbescheid gegen ein kleines Versandunternehmen in Höhe von 5.000 Euro nach Art. 83 IV DSGVO wegen Fehlens eines Auftragsverarbeitungsvertrages
SACHVERHALT
Das Versandunternehmen wandte sich mit einer Anfrage an die Hessische Datenschutzaufsicht. Es war der Ansicht, dass die Erstellung eines Auftragsverarbeitungsvertrages die Pflicht des Vertragspartners und Auftragnehmers sei. Es berief sich darauf, dass sie die internen Prozesse des Auftragnehmers nicht kenne. Zudem übersandte der beauftragte Dienstleister trotz mehrfacher Aufforderung keinen Vertrag zur Auftragsverarbeitung. Trotz Belehrung des Hessischen Beauftragten für Datenschutz ging das Unternehmen seiner Pflicht nicht nach. Die Angelegenheit wurde sodann an die Hamburgische Datenschutzaufsicht weitergeleitet.
Nach Art. 28 III DSGVO ist bei der Verarbeitung von personenbezogenen Daten ein Vertrag zur Auftragsverarbeitung abzuschließen.
Nach Ansicht der Hamburgischen Datenschutzaufsicht wurden personenbezogene Daten ohne Rechtsgrundlage an den Dienstleister übermittelt. Zudem waren die Verarbeitungsprozesse des Dienstleisters nicht genau bekannt. Ohne Auftragsverarbeitungsvertrag hätte das Verhältnis im Sinne der DSGVO eingestellt werden müssen. Auch die fehlende Einsicht des Unternehmens nach Belehrung der Hessischen Datenschutzaufsicht habe sich auf die Höhe des Bußgeldes ausgewirkt.
Autorin: Isabelle Haas