5000 Euro Bußgeld für fehlenden Auftragsverarbeitungsvertrag

R&P
01.03.2019187 Mal gelesen
Behörden setzen vermehrt Bußgelder wegen Datenschutzverstößen fest. Dies betrifft nicht nur große Konzerne, sondern auch Mittelständler und kleine Unternehmen. Ein fehlender Auftragsverarbeitungsvertrag kann hierfür schon Anlass genug sein.

Immer wenn eine Datenverarbeitung im Auftrag erfolgt, muss ein sogenannter Auftragsverarbeitungsvertrag (AVV) geschlossen werden. Die EU-Datenschutzgrundverordnung - kurz DSGVO - stellt hohe Anforderungen an solche Verträge. Ein fehlender AVV kann von der zuständigen Aufsichtsbehörde sanktioniert werden. Kürzlich hat die Hamburger Datenschutzbehörde einen Bußgeldbescheid an einen kleinen Versandhändler ausgestellt, da dieses Unternehmen mit einem beauftragten Dienstleister keinen Auftragsverarbeitungsvertrag geschlossen hatte.

Fehlende AVVs führen zu Bußgeldern

Datenschutzverstöße können nach den Vorschriften der DSGVO zu hohen Bußgeldern führen. In dem Fehlen eines Auftragsverarbeitungsvertrags ist ein solcher Datenschutzverstoß zu sehen. Die Sanktionen können eine Höhe von bis zu 20 Millionen Euro oder 4 % des weltweiten Vorjahresumsatzes erreichen. Die Datenschutzbehörde entscheidet nach Ermessen in welcher Höhe ein Bußgeld festgesetzt wird. Entscheidend sind dabei die Erheblichkeit des Verstoßes sowie die Bereitschaft mit der Behörde zusammenzuarbeiten.

Ein aktueller Fall aus Hamburg zeigt, dass die Behörden auch gegen kleine und mittlere Unternehmen Sanktionen aussprechen. Das Versandunternehmen Kolibri wurde zu der Zahlung eines Bußgelds in Höhe von 5000 Euro zzgl. 250 Euro Gebühren aufgefordert. Begründet wurde das Bußgeld damit, dass das Unternehmen es versäumt hatte mit einem beauftragten Dienstleister einen AVV zu schließen.

Der Versandhändler verweigerte die Zusammenarbeit mit der Datenschutzbehörde

Kolibri hatte den Dienstleister mehrfach aufgefordert einen Auftragsverarbeitungsvertrag zu übersenden. Dieser Aufforderung kam der Dienstleister nicht nach. Kolibri lehnte es ab, selbst einen Vertrag aufzusetzen.

Die Aufsichtsbehörde stellte daraufhin klar, dass die Pflicht zum Vertragsschluss bei beiden beteiligten Parteien liegt. Der Versandhändler selbst hätte also einen AVV verfassen müssen. Da sich Kolibri darüber hinaus weigerte mit der Behörde zusammenzuarbeiten, kam eine Strafmilderung nicht in Betracht. Die Datenschützer verhängten das angesprochene Bußgeld.

 

Weitere Informationen zu DSGVO-Bußgeldern finden Sie hier:

https://www.rosepartner.de/bussgeld-dsgvo.html