DSGVO-Strafe: Bußgeld wegen fehlendem Auftrags­ver­ar­bei­tungs­vertrag

Der Datenschutzblog von ONPRIVACY

Die Aufsichts­behörden haben bereits eine Reihe von Buß­geld­ver­fahren eingeleitet

[Lesedauer: ca. 2:30 Minuten]    Viele Unter­nehmen halten sich noch immer nicht an die neuen EU-Daten­schutz­be­stimmungen — ob be­wußt oder meist aus Un­wissenheit. Eine un­ge­nügende oder fehlende Um­setzung der seit 25. Mai 2018 geltenden DSGVO trifft nun erste Unternehmen.

Die Gnadenfrist scheint vor­über zu sein: Ende des Jahres 2018 wurde ein Ver­stoß gegen einen An­bieter im Sozialen Netzwerk publik und ein Buß­geld in Höhe von 20.000 Euro aus­ge­sprochen. Ein weiterer „Fall“ be­schäftigt die Auf­sichts­be­hörden in Hessen und den Be­auftragten für Daten­schutz aus Hamburg. Ein Unter­nehmer konnte keinen Auftrags­ver­arbeitungs­ver­trag mit einem Geschäfts­partner in Spanien vor­weisen. Die Daten­schützer sahen einen Ver­stoß gegen Artikel 28 Abs. 3 DSGVO und erhoben einen Buß­geld­be­scheid nach Artikel 83 Abs. 4 DSGVO wegen des fehlenden Auftrags­ver­arbeitungs­ver­trages. Doch was war passiert?

Wie es sich in der Presse darstellt habe das Unter­nehmen einen Ver­mittler für Post­dienst­leistungen in Spanien be­auftragt. Dieser Anbieter hatte jedoch — trotz mehr­acher Auf­forderung — keinen Vertrag zur Auftrags­ver­arbeitung unter­schrieben. Diese Ver­ein­barungen gelten gegen­seitig. Also für den Auftrag­nehmer wie auch den Auftrag­geber. Die Aus­ein­ander­setzung wer nun in der Pflicht stehe, eskalierte in einen Buß­geldbescheid.

Da wir über die genauen internen Ab­läufe keine Kenntnis haben und auch die öffentlichen Gegen­über­stellungen des Unter­nehmens Gehör finden sollten, möchten wir uns an weiteren Spekulationen auch nicht be­teiligen. Dieser und andere — wie wahr­schein­lich auch zu­künftige Fälle — zeigen, dass der Um­gang mit den Daten­schutz­richt­linien nicht ein­fach ist und viele Unter­nehmer über­fordert. Mangels Kenntnis oder auch im Um­gang mit den Auf­sichts­be­hörden. Es zeigt auch wie das Image und der Ruf eines Unter­nehmens wie auch das Kunden­ver­trauen durch solche Nach­richten Schaden nehmen können.

  • Der Datenschutz­be­auf­tragte sollte über fun­dierte Fach­kennt­nisse ver­fügen, Quali­fi­kation auf den Ge­bieten des Daten­schutz­rechtes und der Daten­schutz­praxis besitzen. Auch im Umgang mit Behörden …
  • Stetige Kenntnisse über neue Richt­linien durch Wissen und Weiterbildung
  • Eine Nicht­ein­haltung der Richt­linien kann fatale Folgen nach sich ziehen: Ver­trauens­ver­luste und Image-Schaden, der Ver­lust von Zer­ti­fi­zierungen usw.
  • Die Haftung für mögliche Fehler und deren Folgen beim Einsatz eines internen Daten­schutz­be­auf­tragten ver­bleibt zu 100 Prozent beim Unternehmer!

Abbildung: Boyko Pictures

Vorheriger Beitrag
Die Datenschutz-Grundverordnung DSGVO ist für Unternehmen verbindlich

Ähnliche Beiträge

Menü