Eine auf den ersten Blick etwas erschre­ckende Nachricht wabert durch das Internet: Ein kleiner Online-Versan­d­handel soll sich im Mai 2018 an den hessi­schen Beauf­tragten für Daten­schutz gewandt haben und um Rat hinsichtlich eines Dienst­leisters gebeten haben, der im Auftrag des Unter­nehmens Kunden­daten verar­beitet, aber trotz Nachfragen keinen Vertrag zur Auftrags­da­ten­ver­ar­beitung geschickt hatte. Offenbar hoffte man auf ein klärendes Wort der Behörde. Diese enttäuschte diese Hoffnung jedoch. Nach Ansicht der Daten­schutz­be­hörde musste sich nämlich das anfra­gende Unter­nehmen selbst um eine solche Verein­barung kümmern und einen Entwurf dem Auftrags­ver­ar­beiter vorlegen.

Das Unter­nehmen sah das anders und verlieh dieser Ansicht auch Ausdruck. Ein Anwalt trat auf den Plan und unter­strich im Auftrag des Unter­nehmens gegenüber der Behörde noch einmal, dass man den Dienst­leister in der Pflicht sah. Die Daten­schutz­be­hörde sah das aber immer noch anders und gab die Angele­genheit nach Hamburg ab. Die Daten­schutz­be­hörde in Hamburg erließ daraufhin gegen das Unter­nehmen, das nachge­fragt hatte, einen Bußgeld­be­scheid über 5000 €.

Was lernen wir nun aus diesem Verfahren? Besser Abstand halten zu den Daten­schutz­be­hörden? Vielleicht hilft eher ein Blick auf die recht­lichen Grund­lagen. Die Auftrags­ver­ar­beitung ist in Art. 28 DSGVO geregelt. Hiernach muss – die Verordnung beschreibt das recht detail­liert – derjenige, der sich als Verant­wort­licher eines Dienst­leisters bedient, dafür Sorge tragen, dass der einen ordent­lichen Daten­schutz einhält. Nach Art. 28 Abs. 3 DSGVO ist Grundlage ein zusätz­licher Vertrag, in dem ein recht engma­schig umschrie­bener Standard verpflichtend vereinbart wird. In Dienst­leis­tungs­ketten muss eine lückenlose Verpflich­tungs­kette diesen Standard sichern, Art. 28 Abs. 4 DSGVO.

In der Regelung steht nicht, wer den Entwurf dieser Verein­barung vorzu­legen hat. Es entspricht der gängigen Praxis, dass der Auftrags­ver­ar­beiter einen Vertrag vorliegt, denn schließlich weiß er am besten, durch welche konkreten Maßnahmen er den rechts­kon­formen Umgang mit den zu verar­bei­tenden Daten gewähr­leisten will. Und was er überhaupt ganz genau mit Daten macht. Juris­tisch zwingend ist das aber nicht. Entspre­chend hat die Behörde nicht ganz unrecht, wenn sie sich darauf beruft, dass dann, wenn dem Auftrag­geber schlicht nicht bekannt ist, was der Auftrags­ver­ar­beiter mit den Daten macht, und auch keine Verein­barung vom Verar­beiter vorgelegt wird, auf die Zusam­men­arbeit verzichtet werden sollte. Denn in einer solchen Lage ist ja kaum vorstellbar, wie die darge­stellte Pflicht zum Abschluss des Vertrages überhaupt sachgemäß einge­halten werden soll.

Aller­dings: Dies bedeutet nicht, dass nun panisch jedem Dienst­leister, der keinen Auftrags­ver­ar­bei­tungs­vertrag vorgelegt hat, die Zusam­men­arbeit aufzu­kün­digen wäre. Nicht alles, was auf den ersten Blick nach Auftrags­ver­ar­beitung aussieht, ist auch eine solche. Dies ist im ersten Schritt sorgfältig zu prüfen. Mögli­cher­weise braucht man ja gar keine solche Verein­barung. Und dies immerhin lehrt dieser Fall: Bevor sich ein Unter­nehmen aus einer ungeklärten Situation heraus an eine Behörde wendet, sollte sie für sich Klarheit gewonnen haben, ansonsten besteht stets die Gefahr, einen Sachverhalt lückenhaft, ungenau oder gar unrichtig zu kommu­ni­zieren, so dass die Behörde sich genötigt sieht, aktiv zu werden. Denn wenn erst einmal Bescheide in der Welt sind, ist es deutlich aufwen­diger, gegen diese anzugehen, als von vornherein abgesi­chert und klar zu kommu­ni­zieren.