Bußgeld bei fehlendem Auftragsverarbeitungsvertrag

Wie wichtig die Schaffung einer vertraglichen Grundlage zwischen dem Verantwortlichen und dem Auftragsverarbeiter im Rahmen der DSGVO ist, zeigt die erstmalige Verhängung eines Bußgeldes. Worauf dabei noch zu achten ist erklärt Privacy Expert Anna Wiesinger im brandaktuellen Evil Legal Video.

Die Einhaltung der Anforderungen und insbesondere die Schaffung einer vertraglichen Grundlage zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Art. 28 Abs. 3 DSGVO ist von großer Bedeutung, dies zeigt die erstmalige Verhängung eines Bußgeldes.

Mein Name ist Anna Wiesinger, ich bin Privacy Expert bei Spirit Legal und ich möchte Ihnen heute die Erstellung eines rechtstreuen Auftragsverarbeitungsvertrages ans Herz legen.

Die rechtstreue Verarbeitung von personenbezogenen Daten ist oft mit sehr viel Aufwand verbunden, deshalb besteht unter Umständen das Interesse der Verantwortlichen darin, die Datenverarbeitung auszulagern und sie an einen Auftragsverarbeiter zu übertragen.

Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, oder Einrichtung, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Klassische Beispiele dafür sind Newsletter-Dienstleister, Datenträgerentsorgung oder die Dienstleistungen von Call Centern.

Der Auftragsverarbeiter ist gegenüber dem Verantwortlichen, dem „Herren der Verarbeitung“ weisungsgebunden. Hat der Auftragsverarbeiter eigene Interessen an den personenbezogenen Daten, scheidet eine Auftragsverarbeitung durch ihn aus.

Dies ist auch der Fall, wenn der Auftragsverarbeiter die ihm zugewiesenen Kompetenzen überschreitet und sich selbst zum Herrn der Verarbeitung macht, indem er die Daten für eigene Zwecke verwendet. Der Auftragsverarbeiter wird dann zum Verantwortlichen und ihn treffen die entsprechenden Pflichten, wie die Haftung gegenüber betroffenen Personen.

Vor dem Einsatz eines Auftragsverarbeiter muss jeder Verantwortliche prüfen, ob dieser auch hinreichende Garantien dafür bieten kann, dass ein ausreichendes Schutzniveau bei der Verarbeitung von personenbezogenen Daten eingehalten wird.

Unter welchen Voraussetzungen eine Auftragsverarbeitung zulässig ist, regelt Art. 28 DSGVO. Da im Rahmen der Auftragsverarbeitung Daten an den Auftragsverarbeiter übermittelt werden, können sich für die Betroffenen gewisse Risiken ergeben.

Ende 2018 wurde bereits ein Bußgeld in Höhe von EUR 5.000,00 wegen eines fehlenden Auftragsverarbeitungsvertrages verhängt. Grund dafür war die fehlende Rechtsgrundlage für die Übermittlung von schützenswerten Daten zwischen dem Verantwortlichen und dem Auftragsverarbeiter.

Art. 28 Abs. 3 DSGVO sieht eine Datenverarbeitung auf Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vor.

Die DSGVO regelt jedoch nicht, ob der Verantwortliche oder der Auftragsverarbeiter auf den Abschluss eines Auftragsverarbeitungsvertrages hinwirken muss.

Grundsätzlich liegt es im beiderseitigen Interesse, eine vertragliche Grundlage für die Datenverarbeitung zu schaffen. Insbesondere muss sich aber der Verantwortliche bewusst sein, dass er sich ohne Abschluss eines Auftragsverarbeitungsvertrag von der Zusammenarbeit mit dem Auftragsverarbeiter distanzieren sollte, um kein Bußgeld zu riskieren.

Auch ist es in der Praxis mitunter sehr schwierig zu bestimmen, wann ein Auftragsverarbeitungsverhältnis nach Art. 28 DSGVO vorliegt oder ob es sich vielleicht um eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO handelt.

Die Kriterien sind dazu in der DSGVO sehr weit gefasst. Auch von den Aufsichtsbehörden werden teilweise unterschiedliche Auffassungen vertreten. Wir raten Ihnen daher jeglichen Datenaustausch vertraglich abzusichern und Verträge nicht ungeprüft zu unterzeichnen.

Falls Sie jetzt Beratungsbedarf für eine rechtstreuen Auftragsverarbeitungsvertrag im Sinne der DSGVO haben, sprechen Sie mich einfach an.

Wenn Sie diesen Beitrag interessant und hilfreich fanden,
dann bleiben Sie doch am Ball und schreiben sich in unseren Newsletter ein:

Sie erhalten donnerstags sieben relevante Leseepfehlungen aus den Themenfeldern
Recht - Technologie - Marketing - Wissenschaft

Spirit Legal LLP Newsletter abonnieren

Montags veröffentlichen wir den Newsletter in unserem Archiv.

Einen Kommentar schreiben

Tags

arbeitnehmer wallart entgeltgleichheit Soziale Netzwerke Mindestlohn Ofcom Webdesign Doxing A1-Bescheinigung Ratenparität Auftragsdatenverarbeitung TikTok fake news Online-Bewertungen Newsletter Website Vertragsrecht Presse Minijob Persönlichkeitsrecht § 24 MarkenG Journalisten Facebook Hacking Sperrwirkung Extremisten bgh Finanzaufsicht Werbekennzeichnung Registered Blog § 4 UWG Künstliche Intelligenz gdpr Anmeldung Einwilligungsgestaltung Marketing brexit Geschäftsführer Kündigung Cyber Security Online Amazon Markeneintragung Hackerangriff Hotelkonzept GmbH Gepäck Artificial Intelligence Produktempfehlungen Resort Wettbewerb Arbeitsunfall Sicherheitslücke Online Marketing SSO Geschäftsgeheimnis Schadenersatz Single Sign-On Authentifizierung E-Mail-Marketing Foto technology Booking.com Umtausch verlinkung informationspflichten Prozessrecht Hotel Behinderungswettbewerb Datenschutz Kinder whatsapp Überwachung TeamSpirit Leaks total buy out Barcamp #bsen Team Spirit Evil Legal Technologie Informationsfreiheit Wettbewerbsbeschränkung Suchfunktion PSD2 Irreführung Dynamic Keyword Insertion Art. 13 GMV besondere Darstellung Panoramafreiheit Spielzeug Hausrecht Phishing Löschungsanspruch Restaurant Bestpreisklausel anwaltsserie Beschäftigtendatenschutz Abwerbeverbot USPTO Lizenzrecht Know How Hotels Suchalgorithmus Gesichtserkennung Beleidigung Privacy Wettbewerbsverbot Onlineshop Stellenangebot Algorithmen Datensicherheit Unlauterer Wettbewerb Google AdWords Conversion Domainrecht Mitarbeiterfotografie Stellenausschreibung ecommerce Hotellerie Presserecht Radikalisierung Pseudonomisierung Telefon custom audience c/o Einzelhandel schule Beweislast Hotelsterne Insolvenz Verpackungsgesetz Bildung Distribution Europawahl patent Jugendschutzfilter data security Lebensmittel Marke Scam Kreditkarten Team New Work ITB Geschäftsanschrift Datenschutzrecht LikeButton Preisangabenverordnung Internet Bildrechte Neujahr Störerhaftung Einstellungsverbot EU-Kommission Microsoft Gastronomie Bots unternehmensrecht § 5 MarkenG fristen Travel Industry ransom Autocomplete Kartellrecht Urheberrechtsreform Haftungsrecht Direktmarketing Jahresrückblick Xing DSGVO Abmahnung Dokumentationspflicht Rechtsanwaltsfachangestellte Online-Portale Tipppfehlerdomain jahresabschluss Europarecht Corporate Housekeeping Duldungsvollmacht Sitzverlegung Preisauszeichnung Beacons Kennzeichnung Urlaub Apps Vergleichsportale LMIV Content-Klau Schleichwerbung Kinderrechte kinderfotos HipHop Urteile Facial Recognition handel data privacy copter Onlineplattform

Die Rechtsanwaltssozietät Spirit Legal berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal 2013 - 2022, alle Rechte vorbehalten

Förderung von Fachanwaltskursen & anwaltlichen Fortbildungen durch SAB Sachsen: