5.000 Euro Bußgeldbescheid für fehlenden AV-Vertrag
Ein kleines Unternehmen in Hamburg wurde zu einem Bußgeld in Höhe von 5.000 Euro verurteilt. Begründet wird dieser Bescheid durch das Fehlen eines Auftragsverarbeitungsvertrags.
Nach den Informationen des Handelsblatts wurde seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) 41-mal Bußgelder wegen Verstößen verhängt. Ein aktueller Fall aus Hamburg zeigt, mit welchen Strafen kleine Unternehmen rechnen können.
Die Hamburger Datenschutzbehörde hat ein dort ansässiges Unternehmen Mitte Dezember 2018 mit einem Bußgeldbescheid in Höhe von 5.000 Euro belegt. Das geht aus einem Bericht von Heise Online hervor. Begründet wird die Forderung mit dem Fehlen eines Auftragsverarbeitungsvertrages mit einem spanischen Postdienstleister.
Sachverhalt:
Der Unternehmer der kleinen Firma hat sich an den Hessischen Beauftragten für Datenschutz im Mai 2018 gewandt. Dort erkundigte er sich, wie er mit einem Dienstleister verfahren solle, der trotz mehrfacher Anforderung keinen Vertrag zur Auftragsverarbeitung übersandt habe. Die hessische Behörde antwortete darauf, dass die Pflicht, eine solche Vereinbarung abzuschließen nicht nur den Dienstleister treffe. Es trifft ebenfalls den Auftraggeber als datenschutzrechtlichen Verantwortlichen. Die Firma soll daher selbst eine solche Vereinbarung verfassen und dem Auftragnehmer schicken. Hierfür könnte er als Grundlage eine Vorlage der Behörde nutzen. Das Unternehmen lehnte dies jedoch ab. Man wolle sich nicht diese Arbeit machen.
Anfang November wurde dann ein Anwalt beauftragt. Dieser lehnte den Vorschlag, selbst eine entsprechende Vereinbarung mit dem Auftragsverarbeiter zu verfassen ab. Die Ablehnung begründete der Anwalt damit, dass die Firma die internen Prozesse des Dienstleisters nicht kennt und man die hohen Kosten zur Übersetzung des Vertrags nicht tragen wolle.
Urteil:
Die Behörde aus Hessen gab daraufhin den Fall an die Hamburger Behörde weiter. Dort sieht man das Verhalten der Firma als einen Verstoß gegen die DSGVO an. Das Unternehmen soll jetzt ein Bußgeld in Höhe von 5.000 Euro bezahlen. Die Begründung dafür lautet, die Firma habe schützenswerte Daten ohne Rechtliche Grundlage an Dritte übermittelt. Zudem haben die Kollegen aus Hessen das Unternehmen über korrekte Vorgehensweise ausgeklärt. Nach den Informationen von Heise hat das betroffene Unternehmen einen Widerspruch gegen den Bußgeldbescheid eingelegt.