Immer wenn eine Datenverarbeitung im Auftrag erfolgt, muss ein sogenannter Auftragsverarbeitungsvertrag (AVV) geschlossen werden. Die EU-Datenschutzgrundverordnung - kurz DSGVO - stellt hohe Anforderungen an solche Verträge. Ein fehlender AVV kann von der zuständigen Aufsichtsbehörde sanktioniert werden. Kürzlich hat die Hamburger Datenschutzbehörde einen Bußgeldbescheid an einen kleinen Versandhändler ausgestellt, da dieses Unternehmen mit einem beauftragten Dienstleister keinen Auftragsverarbeitungsvertrag geschlossen hatte.
Fehlende AVVs führen zu Bußgeldern
Datenschutzverstöße können nach den Vorschriften der DSGVO zu hohen Bußgeldern führen. In dem Fehlen eines Auftragsverarbeitungsvertrags ist ein solcher Datenschutzverstoß zu sehen. Die Sanktionen können eine Höhe von bis zu 20 Millionen Euro oder 4 % des weltweiten Vorjahresumsatzes erreichen. Die Datenschutzbehörde entscheidet nach Ermessen in welcher Höhe ein Bußgeld festgesetzt wird. Entscheidend sind dabei die Erheblichkeit des Verstoßes sowie die Bereitschaft mit der Behörde zusammenzuarbeiten.
Ein aktueller Fall aus Hamburg zeigt, dass die Behörden auch gegen kleine und mittlere Unternehmen Sanktionen aussprechen. Das Versandunternehmen Kolibri wurde zu der Zahlung eines Bußgelds in Höhe von 5000 Euro zzgl. 250 Euro Gebühren aufgefordert. Begründet wurde das Bußgeld damit, dass das Unternehmen es versäumt hatte mit einem beauftragten Dienstleister einen AVV zu schließen.
Der Versandhändler verweigerte die Zusammenarbeit mit der Datenschutzbehörde
Kolibri hatte den Dienstleister mehrfach aufgefordert einen Auftragsverarbeitungsvertrag zu übersenden. Dieser Aufforderung kam der Dienstleister nicht nach. Kolibri lehnte es ab, selbst einen Vertrag aufzusetzen.
Die Aufsichtsbehörde stellte daraufhin klar, dass die Pflicht zum Vertragsschluss bei beiden beteiligten Parteien liegt. Der Versandhändler selbst hätte also einen AVV verfassen müssen. Da sich Kolibri darüber hinaus weigerte mit der Behörde zusammenzuarbeiten, kam eine Strafmilderung nicht in Betracht. Die Datenschützer verhängten das angesprochene Bußgeld.
Weitere Informationen zu DSGVO-Bußgeldern finden Sie hier: