News

DSGVO: Fehlender Auftragsverarbeitungsvertrag kostet deutsche Firma 5.000 Euro

Die europäische Datenschutzgrundverordnung gilt zwingend seit dem 25. Mai 2018. (Foto: glen photo / Shutterstock.com)

Die Hamburger Datenschutzbehörde hat eine deutsche Firma mit einem Bußgeld in Höhe von 5.000 Euro belegt. Das Unternehmen soll gegen die DSGVO verstoßen haben.

Nach Informationen des Handelsblatts wurden seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) 41-mal Bußgelder wegen Verstößen verhängt. Da diese Fälle nicht öffentlich gemacht werden, gibt es bislang aber kaum Informationen  darüber, welche Verstöße genau geahndet wurde. Während der Bundesdatenschutzbeauftragte Ulrich Kelber für die Zukunft mehr Transparenz bei der Bußgeldvergabe verspricht, zeigt ein aktueller Fall aus Hamburg, mit welchen Strafen kleine Unternehmen rechnen können. Die zuständige Datenschutzbehörde hat ein dort ansässiges Unternehmen Mitte Dezember 2018 mit einem Bußgeldbescheid in Höhe von 5.000 Euro belegt. Das geht aus einem Bericht von Heise Online hervor. Begründet wird die Forderung mit dem Fehlen eines Auftragsverarbeitungsvertrages mit einem spanischen Postdienstleister.

DSGVO-Bußgeld: Das ist passiert

Das betroffene Unternehmen hatte den Fall ursprünglich selbst ins Rollen gebracht. Die Firma hatte sich im Mai 2018 an den Hessischen Beauftragten für den Datenschutz gewandt und sich erkundigt, wie sie mit dem Dienstleister verfahren solle, der trotz mehrfacher Aufforderung keinen Vertrag zur Auftragsverarbeitung übersandt habe. Die hessische Behörde erklärte daraufhin, dass die Pflicht zum Abschluss einer solchen Vereinbarung nicht nur bei dem Dienstleister liege. Die Firma solle daher selbst eine solche Vereinbarung verfassen. Als Grundlage könne das Unternehmen eine Vorlage der Behörde nutzen. Das, so Heise, lehnte das Unternehmen jedoch ab.

Im November schaltete das Unternehmen dann einen Anwalt ein. Der begründete die Ablehnung damit, dass die Firma zum einen nicht über notwendige Kenntnisse über die internen Prozesse des Dienstleisters verfüge und zum anderen nicht die hohen Kosten zur Übersetzung des Vertrags tragen wolle. Außerdem erklärte der Anwalt gegenüber der Behörde, das Unternehmen habe die Frage sowieso nur vorsorglich gestellt. Daraufhin gaben die hessischen Datenschützer den Fall an die zuständigen Kollegen in Hamburg. Dort wiederum sieht man in dem Verhalten der Firma einen Verstoß gegen Artikel 28 Absatz 3 der DSGVO.

Daher soll das Unternehmen jetzt ein Bußgeld in Höhe von 5.000 Euro bezahlen. Als Begründung heißt es, die Firma habe schützenswerte Daten ohne Rechtsgrundlage an einen Dritten übermittelt. Da die Firma offenbar nicht wusste wie die Verarbeitung der Daten aussehe, hätte sie von der Beauftragung des Dienstleisters absehen müssen. Zumal die Datenschützer aus Hessen die Firma bereits über die korrekte Vorgehensweise aufgeklärt hätten. Das betroffene Unternehmen will der Argumentation nicht folgen und hat nach Informationen von Heise Widerspruch gegen den Bußgeldbescheid eingelegt.

Ebenfalls interessant:

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

2 Kommentare
Jens Arndt
Jens Arndt

Meine (noch) Krankenkasse, die viactiv, hat auch mehrere Datenschutzverstöße begangen und sogar schriftlich zugegeben.
Nach einiger Zeit haben sich die Verstöße teils wiederholt, obwohl im Vorfeld ein anderes vorgehen schriftlich zugesichert wurde.

Nach dem ich auf die Aufsichtsbehörde hingewiesen habe, hat mir der Vorstand der Krankenkasse in einem persönlichen schreiben mitgeteilt das die viactiv auch weiterhin jegliche Aussagen zu dem Sachverhalt mir gegenüber verweigert, da es möglicherweise zu einer Kontrolle durch die Aufsichtsbehörde kommen könnte.

Diese bearbeitet den Fall nun seit dem Sommer.

Antworten
Ralf Römling

Wie dieses Beispiel schon zeigt, die DSGVO ist und bleibt für KMUs ein mit Kanonen auf Spatzen ballern, und die Behörden beurteilen halt doch nicht wie versprochen mit Augenmaß sondern buchstabengetreu. Ohne Details zu kennen ist der Fall zwar nicht wirklich zu beurteilen, aber die Adressweitergabe an einen Versanddienstleister abzustrafen ist m. E. echt absurd, Dokumentationpflichten hin oder her.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung