Nun ist es amtlich: Ein nicht vorhandener AV-Vertrag kostet richtig Geld. Gespannt haben wir monatelang darauf gewartet, dass die Datenschutz-Aufsichtsbehörden das scharfe Schwert der Sanktionierung von Datenschutzverstössen einsetzen.

Ende des Jahres gingen dann gleich mehrere spektakuläre Fälle durch die Presse, Aufmerksamkeit erregten vor allem die 50 Millionen Euro, die Google zahlen muss. Aber auch kleine Unternehmen sind nicht vor Strafen gefeit, wie der Fall „Kolibri“ nun zeigt: Die Behörden nehmen Fahrt auf.

Der Fall des Versandunternehmens Kolibri Image ist allerdings ungewöhnlich: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat am 17. Dezember 2018 gegen das Unternehmen Kolibri Image ein Bußgeld in Höhe von 5.000 Euro sowie 250 Euro Gebühren verhängt. Was ist passiert?

Begründet wird diese Maßnahme nach  Artikel 83 Abs. 4a der DSGVO, den allgemeinen Bedingungen für Geldbußen bei Verstößen gegen, in diesem Fall, Art. 28. Dieser Artikel verpflichtet Unternehmen zum Abschluss eines Vertrags zur Auftragsverarbeitung, wenn Daten im Auftrag eines Verantwortlichen verarbeitet werden. Die möglichen Geldstrafen sind übrigens bei max. 10 Mio. Euro oder 2% des Konzernumsatzes gedeckelt. 

Anlass  war eine Anfrage des Unternehmens an den HessischenDatenschutzbeauftragten im Mai 2018: Ein Dienstleister des Unternehmens hätte ihm trotz mehrfacher Aufforderung keinen Vertrag zur Auftragsverarbeitung übersandt. Das Unternehmen sah darin einen Verstoß und bat die Aufsichtsbehörde um Hilfe. Der hessische Datenschutzbeauftragte stellte jedoch klar, dass die Pflicht zum Hinwirken auf Abschluss eines Vertrags sehr wohl nicht nur den Auftragsverarbeiter sondern gleichwohl den Verantwortlichen, also das Unternehmen träfe. Wenn also der Verarbeiter nicht reagiere, müsse das Unternehmen selber einen Vertrag zur Verfügung stellen. Die Behörde wies zudem darauf hin, dass geeignete Vorlagen auf ihrer Website zur Verfügung stünden. 

Die Geschäftsführung von Kolibri Image sah das allerdings anders: Sie wolle sich diese Arbeit nicht machen, das sei Pflicht des Auftragnehmers. Ein eingeschalteter Anwalt des Unternehmens stellte auch fest, dass man sich die Arbeit nicht machen wolle und außerdem keine Kenntnis von den Prozessen des Auftragnehmers hätte. Zudem wären die Kosten für eine Übersetzung des Dokuments eine unangemessene Belastung. 

Die hessische Behörde gab daraufhin den Fall an die zuständige Behörde in Hamburg weiter, diese verhängte das Bußgeld aufgrund eines Verstosses gegen Art. 28 Abs. 3. Nach dieser Vorschrift hätte ein Vertrag geschlossen werden müssen, in dem auch Angaben zu technisch-organisatorischen Maßnahmen auf Seiten des Auftragnehmers gemacht hätten werden müssen. Obwohl der Verantwortliche laufend personenbezogene Daten an das spanische Unternehmen zur Verarbeitung in seinem Auftrag übersandt hat, hat er nicht auf den Vertragsabschluss hingewirkt. Auch nach der Information des hessischen Datenschützers wurde an dieser Praxis nichts geändert.  Man hätte das Schreiben nicht ernst genommen und auch die Empfehlungen bzgl. der Vorlagen nicht genutzt. 

Unterm Strich hat die Behörde klar gemacht, dass sie zwar die Argumentation des Unternehmens verstehe, wonach es die Vorgänge im beauftragten Unternehmen nicht kenne und somit nicht in der Lage gewesen wäreöre, wesentliche Angaben im Vertrag zu machen. Wenn der Vertragspartner sich jedoch weigere, so die Hamburger Behörde, „muss man sich eben einen anderen Partner suchen“. Wer trotzdem weiter solche eine Beauftragung durchführe, mache sich strafbar.