Bußgeld bei fehlendem Auftragsverarbeitungsvertrag

Wie wichtig die Schaffung einer vertraglichen Grundlage zwischen dem Verantwortlichen und dem Auftragsverarbeiter im Rahmen der DSGVO ist, zeigt die erstmalige Verhängung eines Bußgeldes. Worauf dabei noch zu achten ist erklärt Privacy Expert Anna Wiesinger im brandaktuellen Evil Legal Video.

Die Einhaltung der Anforderungen und insbesondere die Schaffung einer vertraglichen Grundlage zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Art. 28 Abs. 3 DSGVO ist von großer Bedeutung, dies zeigt die erstmalige Verhängung eines Bußgeldes.

Mein Name ist Anna Wiesinger, ich bin Privacy Expert bei Spirit Legal und ich möchte Ihnen heute die Erstellung eines rechtstreuen Auftragsverarbeitungsvertrages ans Herz legen.

Die rechtstreue Verarbeitung von personenbezogenen Daten ist oft mit sehr viel Aufwand verbunden, deshalb besteht unter Umständen das Interesse der Verantwortlichen darin, die Datenverarbeitung auszulagern und sie an einen Auftragsverarbeiter zu übertragen.

Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, oder Einrichtung, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Klassische Beispiele dafür sind Newsletter-Dienstleister, Datenträgerentsorgung oder die Dienstleistungen von Call Centern.

Der Auftragsverarbeiter ist gegenüber dem Verantwortlichen, dem „Herren der Verarbeitung“ weisungsgebunden. Hat der Auftragsverarbeiter eigene Interessen an den personenbezogenen Daten, scheidet eine Auftragsverarbeitung durch ihn aus.

Dies ist auch der Fall, wenn der Auftragsverarbeiter die ihm zugewiesenen Kompetenzen überschreitet und sich selbst zum Herrn der Verarbeitung macht, indem er die Daten für eigene Zwecke verwendet. Der Auftragsverarbeiter wird dann zum Verantwortlichen und ihn treffen die entsprechenden Pflichten, wie die Haftung gegenüber betroffenen Personen.

Vor dem Einsatz eines Auftragsverarbeiter muss jeder Verantwortliche prüfen, ob dieser auch hinreichende Garantien dafür bieten kann, dass ein ausreichendes Schutzniveau bei der Verarbeitung von personenbezogenen Daten eingehalten wird.

Unter welchen Voraussetzungen eine Auftragsverarbeitung zulässig ist, regelt Art. 28 DSGVO. Da im Rahmen der Auftragsverarbeitung Daten an den Auftragsverarbeiter übermittelt werden, können sich für die Betroffenen gewisse Risiken ergeben.

Ende 2018 wurde bereits ein Bußgeld in Höhe von EUR 5.000,00 wegen eines fehlenden Auftragsverarbeitungsvertrages verhängt. Grund dafür war die fehlende Rechtsgrundlage für die Übermittlung von schützenswerten Daten zwischen dem Verantwortlichen und dem Auftragsverarbeiter.

Art. 28 Abs. 3 DSGVO sieht eine Datenverarbeitung auf Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vor.

Die DSGVO regelt jedoch nicht, ob der Verantwortliche oder der Auftragsverarbeiter auf den Abschluss eines Auftragsverarbeitungsvertrages hinwirken muss.

Grundsätzlich liegt es im beiderseitigen Interesse, eine vertragliche Grundlage für die Datenverarbeitung zu schaffen. Insbesondere muss sich aber der Verantwortliche bewusst sein, dass er sich ohne Abschluss eines Auftragsverarbeitungsvertrag von der Zusammenarbeit mit dem Auftragsverarbeiter distanzieren sollte, um kein Bußgeld zu riskieren.

Auch ist es in der Praxis mitunter sehr schwierig zu bestimmen, wann ein Auftragsverarbeitungsverhältnis nach Art. 28 DSGVO vorliegt oder ob es sich vielleicht um eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO handelt.

Die Kriterien sind dazu in der DSGVO sehr weit gefasst. Auch von den Aufsichtsbehörden werden teilweise unterschiedliche Auffassungen vertreten. Wir raten Ihnen daher jeglichen Datenaustausch vertraglich abzusichern und Verträge nicht ungeprüft zu unterzeichnen.

Falls Sie jetzt Beratungsbedarf für eine rechtstreuen Auftragsverarbeitungsvertrag im Sinne der DSGVO haben, sprechen Sie mich einfach an.

Wenn Sie diesen Beitrag interessant und hilfreich fanden,
dann bleiben Sie doch am Ball und schreiben sich in unseren Newsletter ein:

Sie erhalten donnerstags sieben relevante Leseepfehlungen aus den Themenfeldern
Recht - Technologie - Marketing - Wissenschaft

Spirit Legal LLP Newsletter abonnieren

Montags veröffentlichen wir den Newsletter in unserem Archiv.

Einen Kommentar schreiben

Tags

Jugendschutzfilter 5 UWG Sicherheitslücke Hackerangriff § 5 MarkenG §75f HGB Europarecht Check-in Bestandsschutz brexit München Urheberrecht Annual Return bgh Kekse Unternehmensgründung Aufsichtsbehörden wetteronline.de Facial Recognition Heilkunde Sperrabrede Datenportabilität Duldungsvollmacht AfD Unterlassungsansprüche Vergütung Plattformregulierung gdpr Consent Management Bundeskartellamt Expedia.com Anmeldung KUG Panorama gender pay gap Hacking JointControl Umtausch Data Breach Sampling Hotelrecht Blog Gepäck Conversion whatsapp LinkedIn Türkisch #emd15 Crowdfunding Internet Referendar Leaks Gaming Disorder Webdesign Kündigung patent kinderfotos Linkhaftung Markenrecht geldwäsche handelsrecht Customer Service Leipzig Event Email Niederlassungsfreiheit Vertrauen Kritik Jahresrückblick Kosmetik Gegendarstellung Europawahl Gastronomie Extremisten Löschung Wahlen Persönlichkeitsrecht Recht Abhören Datenschutzrecht Informationsfreiheit Website Content-Klau Vertragsgestaltung Geschäftsanschrift Single Sign-On USPTO Datenschutzerklärung 3 UWG britain Social Networks Voice Assistant Schadensersatz html5 Bildrechte Erdogan § 5 UWG zahlungsdienst Distribution Bildung Algorithmus Transparenz Limited Osteopathie Facebook Ofcom #bsen Authentifizierung Privacy Kennzeichnung Flugzeug Irreführung Kundenbewertung Kapitalmarkt § 4 UWG email marketing Mindestlohn Hotellerie Newsletter Autocomplete Doxing data privacy targeting verlinkung Datenschutz gesellschaftsrecht Datensicherheit Bots AGB Home-Office Werktitel Stellenausschreibung Artificial Intelligence A1-Bescheinigung Registered Kreditkarten data Amazon Textilien CRM 2014 Suchfunktion Minijob LikeButton Selbstverständlichkeiten Impressum Ferienwohnung handel Reisen Mitarbeiterfotografie Filesharing nutzungsrechte BDSG EU-Textilkennzeichnungsverordnung Opentable Marke Ruby on Rails Tipppfehlerdomain Twitter schule Foto Spielzeug wallart SSO videoüberwachung Presse Education Hotel custom audience Einzelhandel EuGH Machine Learning Handelsregister Wettbewerbsbeschränkung Pseudonomisierung E-Mail Rechtsprechung fotos arbeitnehmer Bundesmeldegesetz Erbe NetzDG Bachblüten Europa Digitalwirtschaft Kennzeichnungskraft Custom Audiences total buy out Datenpanne GmbH privacy shield Rabattangaben Finanzaufsicht kündigungsschutz Beacons Meldepflicht Radikalisierung Markeneintragung Verbandsklage Know How hate speech

Die Rechtsanwaltssozietät Spirit Legal berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal 2013 - 2021, alle Rechte vorbehalten