5.000 € Bußgeld für fehlenden Auftragsverarbeitungsvertrag?
Gehe nie zu Deinem Fürst, wenn Du nicht gerufen wirst…
Die Jagdsaison ist eröffnet: Bevor im November gegen einen Forenbetreiber aus Karlsruhe ein Bußgeld von 20.000 € verhängt wurde hielten die Behörden lange Zeit die Füße still. Jetzt erhielt ein Unternehmen in der Versandbranche ein Bußgeld in Höhe von 5.000 € für das Fehlen eines Auftragsverarbeitungsvertrags mit einem spanischen Paketdienstleister (heise.de berichtete).
Kurios: Der Datenschutzbeauftragte in Hessen wurde erst auf den Sachverhalt aufmerksam, nachdem das Unternehmen aus Hamburg im Mai 2018 um Rat hinsichtlich des Umgangs mit dem Vertragspartner bat. Trotz mehrfacher Aufforderung habe ein spanischer Paketdienstleister keinen Vertrag zur Auftragsverarbeitung zugesendet.
Die Datenschutzbehörde erinnerte die Hamburger daran, dass die Pflicht nicht nur das spanische, sondern vielmehr beide Unternehmen betrifft. Im Zuge dessen machten sie auf entsprechende Vertragsvorlagen auf ihrer Behördenwebsite aufmerksam. Das zwischenzeitlich durch einen Anwalt beratene Hamburger Unternehmen wies jedoch die Verantwortung von sich und erklärte, dass die Frage nur vorsorglich erfolgte. Zudem sei die interne Verfahrensweise des spanischen Unternehmens ihnen nicht bekannt und eine Übersetzung des Vertrages ins Spanische zu teuer.
Auf die Verweigerung und Untätigkeit des Hamburger Unternehmens hin adressierte die Behörde nun viele Monate später den angesprochenen Bußgeldbescheid. Dieser wird mit dem Fehlen des Auftragsverarbeitungsvertrages gemäß Art. 83 Abs. 4, 28 Abs. 3 DSGVO begründet. Für die Höhe des Bußgelds werden mehrere Gründe angegeben. Unter anderem fehle es an einer Rechtsgrundlage (Art. 6 DSGVO) für das Übermitteln an den Dienstleister. Zudem habe das Unternehmen, nicht zuletzt wegen der Unkenntnis der internen Prozesse, die Zusammenarbeit mit dem spanischen Unternehmen beenden, oder von den Vorschlägen der Behörde Gebrauch machen müssen.
Es erscheint jedoch fraglich, ob die Erwägungen für die Begründung der Behörde zutreffend sind und der Bußgeldbescheid insofern überhaupt rechtmäßig ist.
Zunächst einmal ist nicht jedes angekoppelte Drittunternehmen automatisch Auftragsverarbeiter, wenn es in den Kontakt mit personenbezogenen Daten gelangt. Der Auftragsverarbeiter muss im Auftrag und nach Weisung des Verantwortlichen handeln. Die Zwecke und die Mittel Datenverarbeitung müssen gegenüber dem Auftragsverarbeiter definiert und festgelegt werden. Insofern handelt der Vertragspartner in Bezug auf die Verarbeitung der personenbezogenen Daten nach Weisung des Verantwortlichen (siehe dazu ausführlich Artikel 29 Datenschutzgruppe: 00264/10/DE WP 169: „Stellungnahme 1/2010 zu den Begriffen „für die Verarbeitung Verantwortlicher“ und „Auftragsverarbeiter“; insb. Seite 18 )
Wenn das spanische Unternehmen nicht nach Weisung des Auftraggebers handelt, ist es unter Umständen alleiniger Verantwortlicher. Zudem hat bereits im Januar 2018 die Datenschutzkonferenz in einem Paper darauf hingewiesen, dass der Einsatz von Postdienstleistern die Inanspruchnahme fremder Fachleistungen bei einem eigenständigen Verantwortlichen darstellt. Sie sind folglich keine Auftragsverarbeiter. Diese Wertung könnte mit dem spanischen Paketdienstleister zu vergleichen sein.
Wie das Vertragsverhältnis genau aussieht, lässt sich aus der Ferne nicht beurteilen. Rechtsanwalt Hansen-Oest, der nach eigener Aussage Kenntnis über den Bußgeldbescheid und den genauen Sachverhalt hat, schließt in einem Beitrag im heise Forum mit dem Titel Aus juristischer Sicht eine Fehlentscheidung der Aufsichtsbehörde, jedenfalls eine Auftragsverarbeitung aus. Zudem weist er darauf hin, dass eine fehlende Auseinandersetzung der Behörde mit der Frage, ob es sich tatsächlich um einen Auftragsverarbeiter handelt, einen Ermessensfehler darstellen könnte.
Darüber hinaus ist das Verhältnis zum vermeintlichen Auftragsverarbeiter vom Verhältnis zu den eigenen Kunden und restlichen Vertragspartnern zu unterscheiden. So könnte die Verarbeitung der Übermittlung der personenbezogenen Daten der eigenen Kunden an das spanische Unternehmen sehr wohl auf eine Rechtgrundlage, nämlich der Rechtsgrundlage der Vertragsdurchführung mit den deutschen Kunden nach Art. 6 Abs. 1 lit. b DSGVO fußen. Hierauf kann sich die Behörde folglich nicht berufen.
Das Hamburger Unternehmen hat bereits angekündigt Widerspruch gegen den Bußgeldbescheid einzulegen.
Wissenschaftlicher Mitarbeiter Badr Eddine Adamou