Bußgeld bei fehlendem Auftragsverarbeitungsvertrag

Wie wichtig die Schaffung einer vertraglichen Grundlage zwischen dem Verantwortlichen und dem Auftragsverarbeiter im Rahmen der DSGVO ist, zeigt die erstmalige Verhängung eines Bußgeldes. Worauf dabei noch zu achten ist erklärt Privacy Expert Anna Wiesinger im brandaktuellen Evil Legal Video.

Die Einhaltung der Anforderungen und insbesondere die Schaffung einer vertraglichen Grundlage zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Art. 28 Abs. 3 DSGVO ist von großer Bedeutung, dies zeigt die erstmalige Verhängung eines Bußgeldes.

Mein Name ist Anna Wiesinger, ich bin Privacy Expert bei Spirit Legal und ich möchte Ihnen heute die Erstellung eines rechtstreuen Auftragsverarbeitungsvertrages ans Herz legen.

Die rechtstreue Verarbeitung von personenbezogenen Daten ist oft mit sehr viel Aufwand verbunden, deshalb besteht unter Umständen das Interesse der Verantwortlichen darin, die Datenverarbeitung auszulagern und sie an einen Auftragsverarbeiter zu übertragen.

Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, oder Einrichtung, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Klassische Beispiele dafür sind Newsletter-Dienstleister, Datenträgerentsorgung oder die Dienstleistungen von Call Centern.

Der Auftragsverarbeiter ist gegenüber dem Verantwortlichen, dem „Herren der Verarbeitung“ weisungsgebunden. Hat der Auftragsverarbeiter eigene Interessen an den personenbezogenen Daten, scheidet eine Auftragsverarbeitung durch ihn aus.

Dies ist auch der Fall, wenn der Auftragsverarbeiter die ihm zugewiesenen Kompetenzen überschreitet und sich selbst zum Herrn der Verarbeitung macht, indem er die Daten für eigene Zwecke verwendet. Der Auftragsverarbeiter wird dann zum Verantwortlichen und ihn treffen die entsprechenden Pflichten, wie die Haftung gegenüber betroffenen Personen.

Vor dem Einsatz eines Auftragsverarbeiter muss jeder Verantwortliche prüfen, ob dieser auch hinreichende Garantien dafür bieten kann, dass ein ausreichendes Schutzniveau bei der Verarbeitung von personenbezogenen Daten eingehalten wird.

Unter welchen Voraussetzungen eine Auftragsverarbeitung zulässig ist, regelt Art. 28 DSGVO. Da im Rahmen der Auftragsverarbeitung Daten an den Auftragsverarbeiter übermittelt werden, können sich für die Betroffenen gewisse Risiken ergeben.

Ende 2018 wurde bereits ein Bußgeld in Höhe von EUR 5.000,00 wegen eines fehlenden Auftragsverarbeitungsvertrages verhängt. Grund dafür war die fehlende Rechtsgrundlage für die Übermittlung von schützenswerten Daten zwischen dem Verantwortlichen und dem Auftragsverarbeiter.

Art. 28 Abs. 3 DSGVO sieht eine Datenverarbeitung auf Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vor.

Die DSGVO regelt jedoch nicht, ob der Verantwortliche oder der Auftragsverarbeiter auf den Abschluss eines Auftragsverarbeitungsvertrages hinwirken muss.

Grundsätzlich liegt es im beiderseitigen Interesse, eine vertragliche Grundlage für die Datenverarbeitung zu schaffen. Insbesondere muss sich aber der Verantwortliche bewusst sein, dass er sich ohne Abschluss eines Auftragsverarbeitungsvertrag von der Zusammenarbeit mit dem Auftragsverarbeiter distanzieren sollte, um kein Bußgeld zu riskieren.

Auch ist es in der Praxis mitunter sehr schwierig zu bestimmen, wann ein Auftragsverarbeitungsverhältnis nach Art. 28 DSGVO vorliegt oder ob es sich vielleicht um eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO handelt.

Die Kriterien sind dazu in der DSGVO sehr weit gefasst. Auch von den Aufsichtsbehörden werden teilweise unterschiedliche Auffassungen vertreten. Wir raten Ihnen daher jeglichen Datenaustausch vertraglich abzusichern und Verträge nicht ungeprüft zu unterzeichnen.

Falls Sie jetzt Beratungsbedarf für eine rechtstreuen Auftragsverarbeitungsvertrag im Sinne der DSGVO haben, sprechen Sie mich einfach an.

Wenn Sie diesen Beitrag interessant und hilfreich fanden,
dann bleiben Sie doch am Ball und schreiben sich in unseren Newsletter ein:

Sie erhalten donnerstags sieben relevante Leseepfehlungen aus den Themenfeldern
Recht - Technologie - Marketing - Wissenschaft

Spirit Legal LLP Newsletter abonnieren

Montags veröffentlichen wir den Newsletter in unserem Archiv.

Einen Kommentar schreiben

Tags

fake news Dynamic Keyword Insertion verlinkung Gesetz transparenzregister Algorithmus Transparenz Fotografen Keyword-Advertising HSMA OTMR Midijob handel Radikalisierung Hack Presse Prozessrecht Preisangabenverordnung Team Hotel Diskriminierung Werbung Urteile information technology Hotelkonzept Annual Return veröffentlichung Creative Commons EU-Kosmetik-Verordnung Einverständnis München Dokumentationspflicht Kartellrecht Dark Pattern Rechtsanwaltsfachangestellte Hotelrecht gezielte Behinderung Gepäck #bsen Jugendschutzfilter ITB SSO bgh Cyber Security Art. 13 GMV Informationspflicht handelsrecht Geschäftsgeheimnis Compliance Großbritannien 5 UWG Kundendaten Notice & Take Down Geschmacksmuster arbeitnehmer Mitarbeiterfotografie kommunen Einzelhandel Osteopathie Arbeitsrecht Haftungsrecht gender pay gap Marketing Handynummer email marketing Berlin brexit selbstanlageverfahren Direktmarketing PPC Europarecht c/o Aufsichtsbehörden A1-Bescheinigung schule Schleichwerbung Pressekodex Apps JointControl data security Fotografie Stellenangebot E-Commerce YouTube Vertragsgestaltung Wettbewerbsverbot Auftragsdatenverarbeitung Suchmaschinenbetreiber Internet of Things UWG Lohnfortzahlung HipHop Pseudonomisierung Facial Recognition markenanmeldung Class Action EC-Karten Social Media Stellenausschreibung Handelsregister Booking.com Asien Social Engineering events Medienprivileg Erdogan Hacking Onlineplattform Xing E-Mail-Marketing Auftragsverarbeitung kinderfotos Künstliche Intelligenz Barcamp Bildrechte #emd15 Boehmermann Namensrecht Schadensersatz FashionID Vertrauen ISPs Tipppfehlerdomain Rechtsprechung Textilien Hotels gdpr IT-Sicherheit verlinken Sponsoren Abmahnung Double-Opt-In Onlineshop neu Erschöpfungsgrundsatz Finanzaufsicht Sperrabrede ransomware ADV Kekse Europa Urheberrechtsreform FTC Einwilligungsgestaltung Analytics Bewertung Auslandszustellung Bachblüten Journalisten Rückgaberecht anwaltsserie technik britain Online Marketing vertrag Spitzenstellungsbehauptung Datensicherheit Geschäftsführer Zahlungsdaten Spirit Legal Social Networks Vergütung § 5 MarkenG Team Spirit Nutzungsrecht Bestpreisklausel Produktempfehlungen Leipzig Privacy Gesichtserkennung Machine Learning Reise CNIL Einstellungsverbot Kleinanlegerschutz Blog Opentable Entschädigung Gaming Disorder Content-Klau LG Köln ransom E-Mobilität GmbH Amazon Beacons Kreditkarten WLAN CRM Sitzverlegung jahresabschluss berufspflicht Datenschutzrecht 3 UWG Datenschutz Meinung Kennzeichnung Kunsturhebergesetz total buy out Travel Industry Crowdfunding

Die Rechtsanwaltssozietät Spirit Legal berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal 2013 - 2020, alle Rechte vorbehalten