News

DSGVO: Fehlender Auftragsverarbeitungsvertrag kostet deutsche Firma 5.000 Euro

Die europäische Datenschutzgrundverordnung gilt zwingend seit dem 25. Mai 2018. (Foto: glen photo / Shutterstock.com)

Die Hamburger Datenschutzbehörde hat eine deutsche Firma mit einem Bußgeld in Höhe von 5.000 Euro belegt. Das Unternehmen soll gegen die DSGVO verstoßen haben.

Nach Informationen des Handelsblatts wurden seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) 41-mal Bußgelder wegen Verstößen verhängt. Da diese Fälle nicht öffentlich gemacht werden, gibt es bislang aber kaum Informationen  darüber, welche Verstöße genau geahndet wurde. Während der Bundesdatenschutzbeauftragte Ulrich Kelber für die Zukunft mehr Transparenz bei der Bußgeldvergabe verspricht, zeigt ein aktueller Fall aus Hamburg, mit welchen Strafen kleine Unternehmen rechnen können. Die zuständige Datenschutzbehörde hat ein dort ansässiges Unternehmen Mitte Dezember 2018 mit einem Bußgeldbescheid in Höhe von 5.000 Euro belegt. Das geht aus einem Bericht von Heise Online hervor. Begründet wird die Forderung mit dem Fehlen eines Auftragsverarbeitungsvertrages mit einem spanischen Postdienstleister.

DSGVO-Bußgeld: Das ist passiert

Das betroffene Unternehmen hatte den Fall ursprünglich selbst ins Rollen gebracht. Die Firma hatte sich im Mai 2018 an den Hessischen Beauftragten für den Datenschutz gewandt und sich erkundigt, wie sie mit dem Dienstleister verfahren solle, der trotz mehrfacher Aufforderung keinen Vertrag zur Auftragsverarbeitung übersandt habe. Die hessische Behörde erklärte daraufhin, dass die Pflicht zum Abschluss einer solchen Vereinbarung nicht nur bei dem Dienstleister liege. Die Firma solle daher selbst eine solche Vereinbarung verfassen. Als Grundlage könne das Unternehmen eine Vorlage der Behörde nutzen. Das, so Heise, lehnte das Unternehmen jedoch ab.

Im November schaltete das Unternehmen dann einen Anwalt ein. Der begründete die Ablehnung damit, dass die Firma zum einen nicht über notwendige Kenntnisse über die internen Prozesse des Dienstleisters verfüge und zum anderen nicht die hohen Kosten zur Übersetzung des Vertrags tragen wolle. Außerdem erklärte der Anwalt gegenüber der Behörde, das Unternehmen habe die Frage sowieso nur vorsorglich gestellt. Daraufhin gaben die hessischen Datenschützer den Fall an die zuständigen Kollegen in Hamburg. Dort wiederum sieht man in dem Verhalten der Firma einen Verstoß gegen Artikel 28 Absatz 3 der DSGVO.

Daher soll das Unternehmen jetzt ein Bußgeld in Höhe von 5.000 Euro bezahlen. Als Begründung heißt es, die Firma habe schützenswerte Daten ohne Rechtsgrundlage an einen Dritten übermittelt. Da die Firma offenbar nicht wusste wie die Verarbeitung der Daten aussehe, hätte sie von der Beauftragung des Dienstleisters absehen müssen. Zumal die Datenschützer aus Hessen die Firma bereits über die korrekte Vorgehensweise aufgeklärt hätten. Das betroffene Unternehmen will der Argumentation nicht folgen und hat nach Informationen von Heise Widerspruch gegen den Bußgeldbescheid eingelegt.

Ebenfalls interessant:

Bitte beachte unsere Community-Richtlinien

2 Reaktionen
Ralf Römling

Wie dieses Beispiel schon zeigt, die DSGVO ist und bleibt für KMUs ein mit Kanonen auf Spatzen ballern, und die Behörden beurteilen halt doch nicht wie versprochen mit Augenmaß sondern buchstabengetreu. Ohne Details zu kennen ist der Fall zwar nicht wirklich zu beurteilen, aber die Adressweitergabe an einen Versanddienstleister abzustrafen ist m. E. echt absurd, Dokumentationpflichten hin oder her.

Antworten
Jens Arndt

Meine (noch) Krankenkasse, die viactiv, hat auch mehrere Datenschutzverstöße begangen und sogar schriftlich zugegeben.
Nach einiger Zeit haben sich die Verstöße teils wiederholt, obwohl im Vorfeld ein anderes vorgehen schriftlich zugesichert wurde.

Nach dem ich auf die Aufsichtsbehörde hingewiesen habe, hat mir der Vorstand der Krankenkasse in einem persönlichen schreiben mitgeteilt das die viactiv auch weiterhin jegliche Aussagen zu dem Sachverhalt mir gegenüber verweigert, da es möglicherweise zu einer Kontrolle durch die Aufsichtsbehörde kommen könnte.

Diese bearbeitet den Fall nun seit dem Sommer.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung