IT Recht

DS-GVO: SCHON 5.000 EURO BUSSGELD OHNE VERTRAG

22.02.2019
 (1)

Von Roger Gabor fachanwalt-it.de

 

Die Schonfrist ist vorbei. Nun trifft es auch kleine Unternehmen. Mangels Vertrags zur Auftragsverarbeitung

hat eine Datenschutzbehörde gegen einen kleinen Betrieb 5.000 Euro Bußgeld verhängt. Was war passiert?

Der Fall:

 

Die Datenschutzbehörde Hamburg hat einen Bußgeldbescheid an das kleine Versandunternehmen Kolibri Image versandt

und dieses aufgefordert, einen Betrag von 5.000 Euro zuzüglich 250 Euro Gebühren zu zahlen. Begründet wird

dieser Bescheid nach Art. 83 Abs. 3 DS-GVO mit dem Fehlen eines Auftragsverarbeitungsvertrags. Kolibri Image

hatte im Mai 2018 beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit in eigener Initiative

um Rat gebeten.

 

Ein vom Unternehmen beauftragter, in Spanien ansässiger Dienstleister, verarbeite Kundendaten.

Trotz mehrfacher Aufforderung habe der beauftragte Dienstleister jedoch keinen Vertrag zur Auftragsverarbeitung

übersandt. Nun sei man sich unsicher, wie man darauf reagieren solle. Die zuständige Behörde hat geantwortet,

dass Kolibri Image selbst nach der DS-GVO Verantwortlicher sei. Das Unternehmen treffe deshalb ebenfalls eine Pflicht,

eine entsprechende Vereinbarung zu erwirken und an den Dienstleister zur Unterschrift zu übersenden.

 

Demnach muss bei der Verarbeitung von personenbezogenen Daten durch einen außenstehenden Dritten

ein entsprechendes Vertragsverhältnis bestehen, welches unter anderem festlegt, wie die Daten konkret

verarbeitet werden. Dies war hier nicht der Fall. Die schließlich zuständige Behörde aus Hamburg sah

hierin einen Verstoß gegen Art. 28 Abs. 3 DS-GVO.

 

Begriff des Auftragsverarbeiters

 

Auftragsverarbeiter ist nach Art. 4 Nr. 8 DS-GVO eine Stelle, die personenbezogene Daten

im Auftrag des Verantwortlichen verarbeitet. Verantwortlicher ist gemäß Art. 4 Nr. 7 DS-GVO die Stelle,

die allein oder gemeinsam mit anderen über die Mittel und Zwecke der Verarbeitung

personenbezogener Daten entscheidet.

 

Die Anforderungen an einen Vertrag über die Auftragsdatenverarbeitung personenbezogener Daten sind

durch die Datenschutz-Grundverordnung (DS-GVO) erheblich gestiegen. Die Haftung im Umgang mit

personenbezogenen Daten hat sich im Vergleich zu den bisherigen Regelungen enorm erhöht.

 

Zur Erläuterung: Auftragsverarbeitung liegt zum Beispiel vor

 

beim Outsourcen personenbezogener Datenverarbeitung an

Cloud-Anbieter z.B. für E-Mail-Dienste, Newsletter-Versand oder Backup-Lösungen

 

bei der Nutzung von Google-Analytics: Fast jede Homepage nutzt heute Analysemethoden, um die Nutzung

einzelner Seiten prüfen und verbessern zu können. Dazu dienen Statistik-Tools („Web Analytics“) die jede

Bewegung des Web-Surfers genau verfolgen („Web Tracking“), so auf welcher Seite mit welchen Inhalten der

Nutzer einen Display-Klick vorgenommen hat, über welche Adwords- und Klicks er zu welcher Preissuchmaschine und

schließlich zum Online-Shop gelangt.

 

•bei der Datenträgerentsorgung durch Dienstleister: Eine Auftragsverarbeitung liegt auch vor, wenn z.B. der

Verantwortliche das Löschen von personenbezogener Daten in Form von Unkenntlichmachung gespeicherter Daten durch einen

Dienstleister veranlasst. Datenträger sind mit schützenswerten Informationen so zu löschen bzw. zu vernichten, dass ihr Inhalt nicht

rekonstruiert werden kann. Schützenswert sind neben personenbezogenen Daten auch unternehmensinterne Daten

wie zum Beispiel Reporte und Kennzahlen.

 

Vertrag zur Auftragsverarbeitung verpflichtend!

 

Art. 28 Abs. 3 Datenschutz-Grundverordnung (DS-GVO) gibt inhaltliche Mindestanforderungen für einen

sog. Auftragsverarbeitungsvertrag vor. So muss dieser unter anderem enthalten,

 

welche Art von personenbezogenen Daten verarbeitet werden sowie

 

was Gegenstand und was Zweck der Verarbeitung sind.

 

Beispielsweise muss ein Vertrag auch die Einhaltung besonderer Bedingungen für den Einsatz von

Subunternehmern regeln. Unter anderem muss der Vertrag außerdem vorsehen, dass der Auftragsverarbeiter

die gemäß Art. 32 DS-GVO erforderlichen Maßnahmen ergreift. Da der Verantwortliche für die Rechtmäßigkeit

der Verarbeitung insgesamt verantwortlich ist und bleibt, ist weiterhin anzuraten, die mindestens erforderlichen

technischen und organisatorischen Maßnahmen darzustellen.

 

Ein Auftragsverarbeitungsvertrag muss nach der DS-GVO also jedes Unternehmen, ob klein oder groß abschließen,

das personenbezogene Daten durch einen weisungsabhängigen Dienstleister verarbeiten lässt.

 

Folgen bei Verstößen

 

Unser Rat: Berücksichtigen Sie die umfassenden Vorschriften über Geldbußen in Art. 83 Abs. 4, 5 und 6 DS-GVO

(bei Verstößen gegen die Vorgaben des Art. 28 DS-GVO können Geldbußen von bis zu 10.000.000 Euro

oder bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen

Geschäftsjahres eines Unternehmens verhängt werden). Diese Sanktionen können bei Verstößen

nicht nur den Verantwortlichen selbst, sondern auch den Auftragsverarbeiter treffen,

z. B. bei Verstößen des Auftragsverarbeiters gegen seine Verpflichtungen aus Art. 28 Abs. 2 bis 4 DS-GVO.

 

Übrigens hat der Landesdatenschutzbeauftragte Baden-Württemberg, Dr. Stephan Brink,

unangekündigte Überprüfungen angedroht. 2019 werde das Jahr der Kontrolle, sagte Brink.

Dieser Hinweis ist Ernst zu nehmen!

Diesen Artikel bewerten
Über den Autor

Roger Gabor
Rechtsanwalt • Fachanwalt für Versicherungsrecht
Fachanwalt für Handels- und Gesellschaftsrecht
Fachanwalt für Informationstechnologierecht
Leitzstraße 45
70469 Stuttgart

Telefon: +49 711 655 200 007


Diesen Rechtsanwalt bewerten
Vereinbaren Sie hier eine Rechtsberatung zum Artikel-Thema:
Kontaktieren Sie hier Fachanwalt Roger Gabor:
* Pflichtfeld
Ja, ich willige ein, dass meine im „Kontaktformular“ eingetragenen personenbezogenen Daten zum Zwecke der Angebotsvermittlung per Fax und E-Mail an den zu kontaktierenden Anwalt übermittelt und gespeichert werden. Diese jederzeit widerrufliche Einwilligung sowie die Verarbeitung und Datenübermittlung durch Dritte erfolgen gem. unserer Datenschutzerklärung.
Kontaktieren
Weitere Artikel des Autors
IT Recht ILLEGAL: AUSDRUCKEN EINES TICKETS DARF NICHTS KOSTEN
20.01.2019

Haben Sie sich auch schon einmal mächtig darüber geärgert, für das Selbst-Ausdrucken eines online bestellten Konzertickets zusätzlich eine Servicegebühr bezahlen zu müssen…? Das nennt sich auch Premiumversand. Ein Gericht schafft nun Klarheit. Diese Praxis ist illegal. Klauseln in Allgemeinen Geschäftsbedingungen eines Onlineanbieters für Veranstaltungstickets, die Preisnebenabreden enthalten (hier: „Premiumversand inkl. Bearbeitungsgebühr 29,90 EUR“, „ticketdirekt – das Ticket zum Selbstausdrucken… 2,50 EUR“) sind unwirksam. Das hat das Hanseatisches Oberlandesgericht in Bremen ... weiter lesen

IT Recht CLOUD – HABEN SIE IHR TESTAMENT GEMACHT?
18.12.2018

Cloud-Modelle wachsen wie Blumenkohl-Wolken am Himmel. NO IT – Aufgaben werden übertragen – weg vom Kunden, hin zum Anbieter, der betreibt fortan. Aber wie wird der Kunde gesichert, wenn der Cloud-Anbieter pleitegeht? Technisches Testament – so lautet das Stichwort. In einem sozusagen letzten Willen sollte niedergelegt sein, wie der Cloud-Prozess für den Kunden abgesichert ist. Mit Rechteklauseln, die auch einer Insolvenz standhalten und dort funktionieren. Derzeit existieren im Wesentlichen drei Arten von Cloud-Angeboten: SaaS (Miete von Software-Anwendungen), PaaS (Plattform-Miete, zum Beispiel für Datenbanken) und Iaas ... weiter lesen

Weitere Artikel der Redaktion zum Thema
IT Recht Schadensersatz bei Fotoklau auf eBay

Wer fremde Fotos bei eBay einstellt, kann eventuell auf Schadensersatz in mindestens dreistelliger Höhe und Ersatz der Abmahnkosten in Anspruch genommen werden.  Ein eBay-Verkäufer stellte das Foto einer Eisbox bei seinem Artikel ein. Das Produktbild stammte jedoch nicht von ihm. Vielmehr hatte er das Bild aus einem Onlineshop geklaut. Der betroffene Onlinehändler ging hiergegen vor und schickte an den eBay-Nutzer eine Abmahnung. In dieser machte er u.a. 300 Euro Schadensersatz geltend. Als der eBay-Verkäufer sich weigerte, wurde er verklagt.  Das Landgericht Köln stellte zunächst einmal mit Entscheidung vom 27.05.2014 - 14 S 38/13 ... weiter lesen

IT Recht Unternehmen darf weiterhin Werbeblocker für Internetseiten anbieten

München/Berlin (DAV). Von Internetnutzern selbst installierte Werbeblocker-Software unterdrückt die Anzeige von Werbung auf Internetseiten. Sie ist jedoch keine wettbewerbswidrige Behinderung für Unternehmen, deren Internetpräsenz davon betroffen ist. Das entschied das Landgericht München am 27. Mai 2015 (AZ: 37 O 11673/14 und 37 O 11843/14), wie die Arbeitsgemeinschaft IT-Recht im Deutschen Anwaltverein (DAV) berichtet.   Geklagt hatten zwei Unternehmen einer Mediengruppe. Das eine ist ein digitales Entertainment-Unternehmen, das zahlreiche Webseiten betreibt und vermarktet. Auf seinen Seiten findet sich entsprechend auch Werbung. Die Unternehmen ... weiter lesen

IT Recht Recht auf Löschung von Intimfotos nach Beziehungsende?

Koblenz/Berlin (DAV). Nach dem Ende einer Beziehung muss der Ex-Partner nicht sämtliche Foto- und Videoaufnahmen des anderen löschen. Schließlich wurden die Aufnahmen einvernehmlich gemacht. Allerdings hat der andere Partner Anspruch darauf, dass erotische und intime Aufnahmen von ihm gelöscht werden. Auf das Urteil des Oberlandesgerichts Koblenz vom 20. Mai 2014 (AZ: 3 U 1288/13) macht die Arbeitsgemeinschaft IT-Recht im Deutschen Anwaltverein (DAV) aufmerksam. Ein Fotograf machte während der Beziehung zahlreiche, auch intime Fotos von seiner Freundin. Die Frau fertigte auch selbst solche Aufnahmen an, die sie ihrem Freund in digitalisierter Form ... weiter lesen

IT Recht Abbruch von eBay-Auktion – für Verkäufer ohne Folgen?

Darf ein eBay Verkäufer eine Auktion vorzeitig abbrechen? Nach einer aktuellen Entscheidung des LG Aurich braucht er hier keinen Schadensersatz zu zahlen. Vorliegend bemerkte ein eBay Verkäufer nach Einstellen seines Angebotes kurzfristig, dass ihm ein Fehler unterlaufen war. Er hatte das Angebot aus Versehen für einen Dritten und nicht im eigenen Namen abgegeben. Um das angeblich richtig zu stellen, brach er die Auktion bei eBay noch am ersten Tag vorläufig ab. Dies war allerdings für ihn mit einen unangenehmen Nachspiel verbunden. Der zu diesem Zeitpunkt Höchstbietende verlangte von ihm einen Betrag in Höhe von mehr als 17.000 Euro und ... weiter lesen

Ihre Spezialisten