Bußgeld bei fehlendem Auftragsverarbeitungsvertrag

Wie wichtig die Schaffung einer vertraglichen Grundlage zwischen dem Verantwortlichen und dem Auftragsverarbeiter im Rahmen der DSGVO ist, zeigt die erstmalige Verhängung eines Bußgeldes. Worauf dabei noch zu achten ist erklärt Privacy Expert Anna Wiesinger im brandaktuellen Evil Legal Video.

Die Einhaltung der Anforderungen und insbesondere die Schaffung einer vertraglichen Grundlage zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Art. 28 Abs. 3 DSGVO ist von großer Bedeutung, dies zeigt die erstmalige Verhängung eines Bußgeldes.

Mein Name ist Anna Wiesinger, ich bin Privacy Expert bei Spirit Legal und ich möchte Ihnen heute die Erstellung eines rechtstreuen Auftragsverarbeitungsvertrages ans Herz legen.

Die rechtstreue Verarbeitung von personenbezogenen Daten ist oft mit sehr viel Aufwand verbunden, deshalb besteht unter Umständen das Interesse der Verantwortlichen darin, die Datenverarbeitung auszulagern und sie an einen Auftragsverarbeiter zu übertragen.

Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, oder Einrichtung, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Klassische Beispiele dafür sind Newsletter-Dienstleister, Datenträgerentsorgung oder die Dienstleistungen von Call Centern.

Der Auftragsverarbeiter ist gegenüber dem Verantwortlichen, dem „Herren der Verarbeitung“ weisungsgebunden. Hat der Auftragsverarbeiter eigene Interessen an den personenbezogenen Daten, scheidet eine Auftragsverarbeitung durch ihn aus.

Dies ist auch der Fall, wenn der Auftragsverarbeiter die ihm zugewiesenen Kompetenzen überschreitet und sich selbst zum Herrn der Verarbeitung macht, indem er die Daten für eigene Zwecke verwendet. Der Auftragsverarbeiter wird dann zum Verantwortlichen und ihn treffen die entsprechenden Pflichten, wie die Haftung gegenüber betroffenen Personen.

Vor dem Einsatz eines Auftragsverarbeiter muss jeder Verantwortliche prüfen, ob dieser auch hinreichende Garantien dafür bieten kann, dass ein ausreichendes Schutzniveau bei der Verarbeitung von personenbezogenen Daten eingehalten wird.

Unter welchen Voraussetzungen eine Auftragsverarbeitung zulässig ist, regelt Art. 28 DSGVO. Da im Rahmen der Auftragsverarbeitung Daten an den Auftragsverarbeiter übermittelt werden, können sich für die Betroffenen gewisse Risiken ergeben.

Ende 2018 wurde bereits ein Bußgeld in Höhe von EUR 5.000,00 wegen eines fehlenden Auftragsverarbeitungsvertrages verhängt. Grund dafür war die fehlende Rechtsgrundlage für die Übermittlung von schützenswerten Daten zwischen dem Verantwortlichen und dem Auftragsverarbeiter.

Art. 28 Abs. 3 DSGVO sieht eine Datenverarbeitung auf Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vor.

Die DSGVO regelt jedoch nicht, ob der Verantwortliche oder der Auftragsverarbeiter auf den Abschluss eines Auftragsverarbeitungsvertrages hinwirken muss.

Grundsätzlich liegt es im beiderseitigen Interesse, eine vertragliche Grundlage für die Datenverarbeitung zu schaffen. Insbesondere muss sich aber der Verantwortliche bewusst sein, dass er sich ohne Abschluss eines Auftragsverarbeitungsvertrag von der Zusammenarbeit mit dem Auftragsverarbeiter distanzieren sollte, um kein Bußgeld zu riskieren.

Auch ist es in der Praxis mitunter sehr schwierig zu bestimmen, wann ein Auftragsverarbeitungsverhältnis nach Art. 28 DSGVO vorliegt oder ob es sich vielleicht um eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO handelt.

Die Kriterien sind dazu in der DSGVO sehr weit gefasst. Auch von den Aufsichtsbehörden werden teilweise unterschiedliche Auffassungen vertreten. Wir raten Ihnen daher jeglichen Datenaustausch vertraglich abzusichern und Verträge nicht ungeprüft zu unterzeichnen.

Falls Sie jetzt Beratungsbedarf für eine rechtstreuen Auftragsverarbeitungsvertrag im Sinne der DSGVO haben, sprechen Sie mich einfach an.

Wenn Sie diesen Beitrag interessant und hilfreich fanden,
dann bleiben Sie doch am Ball und schreiben sich in unseren Newsletter ein:

Sie erhalten donnerstags sieben relevante Leseepfehlungen aus den Themenfeldern
Recht - Technologie - Marketing - Wissenschaft

Spirit Legal LLP Newsletter abonnieren

Montags veröffentlichen wir den Newsletter in unserem Archiv.

Einen Kommentar schreiben

Tags

2014 Vertragsgestaltung Soziale Netzwerke Resort Datenpanne DSGVO Einzelhandel Hotels Onlinevertrieb Handynummer Kreditkarten Hack Impressum LG Hamburg selbstanlageverfahren Niederlassungsfreiheit Einwilligung information technology Rückgaberecht Notice & Take Down Analytics Single Sign-On Sicherheitslücke Sponsoring Lebensmittel Unterlassung Behinderungswettbewerb E-Mail-Marketing Recht Messe fake news Human Resource Management Extremisten Reise Online Marketing wallart Know How Email Kennzeichnung drohnengesetz Tipppfehlerdomain Insolvenz Sperrabrede Facebook Urheberrechtsreform Verpackungsgesetz LG Köln verlinken Konferenz informationspflichten Compliance Presse #emd15 Suchmaschinen Plattformregulierung technik KUG Bundeskartellamt Gesundheit EU-Textilkennzeichnungsverordnung Direktmarketing Kosmetik PSD2 Geschäftsführer Pseudonomisierung Double-Opt-In § 4 UWG Wettbewerbsbeschränkung neu Distribution Trademark Team Bildrechte AIDA Kritik fristen Beschäftigtendatenschutz gender pay gap Überwachung Markensperre Customer Service Gesetz Kundenbewertungen Impressumspflicht Anmeldung SSO Datengeheimnis Kennzeichnungskraft Mitarbeiterfotografie Algorithmus Transparenz Einverständnis Prozessrecht #bsen Abwerbeverbot Kartellrecht Einstellungsverbot Stellenausschreibung Ferienwohnung Spielzeug right of publicity Europarecht Werbekennzeichnung FashionID Linkhaftung Google data security nutzungsrechte Verlängerung Bildung hate speech Hackerangriff Markeneintragung Sperrwirkung Meinungsfreiheit Wahlen Infosec Datenschutzbeauftragter Urteile data privacy München bgh videoüberwachung Medienprivileg SEA Apps Textilien Consent Management Kundendaten Vertragsrecht Meinung Online Zustellbevollmächtigter § 24 MarkenG total buy out Referendar Asien EuGH Dokumentationspflicht ReFa Social Media Suchalgorithmus britain Voice Assistant Reiserecht Exklusivitätsklausel Verfügbarkeit Jugendschutzfilter Rabattangaben Irreführung Online-Bewertungen HSMA Ratenparität JointControl markenanmeldung Cyber Security Datenschutzgesetz Online Shopping Crowdfunding Machine Learning Gaming Disorder Expedia.com Boehmermann BDSG Bundesmeldegesetz Beweislast FTC copter kommunen Osteopathie events Informationspflicht recht am eigenen bild Interview Abhören Löschung Finanzaufsicht Bußgeld Blog Minijob kündigungsschutz Website Vergütung Technologie Webdesign Gepäck Geschäftsgeheimnis Schadenersatz Erdogan Freelancer Datenportabilität Opentable Arbeitsvertrag Stellenangebot Hotelsterne Wettbewerbsverbot Dynamic Keyword Insertion ADV Pressekodex Suchfunktion Onlineplattform

Die Rechtsanwaltssozietät Spirit Legal berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal 2013 - 2019, alle Rechte vorbehalten