Schreckgespenst Datenschutz: Bußgeldbescheid nach Behördenanfrage
Eine auf den ersten Blick etwas erschreckende Nachricht wabert durch das Internet: Ein kleiner Online-Versandhandel soll sich im Mai 2018 an den hessischen Beauftragten für Datenschutz gewandt haben und um Rat hinsichtlich eines Dienstleisters gebeten haben, der im Auftrag des Unternehmens Kundendaten verarbeitet, aber trotz Nachfragen keinen Vertrag zur Auftragsdatenverarbeitung geschickt hatte. Offenbar hoffte man auf ein klärendes Wort der Behörde. Diese enttäuschte diese Hoffnung jedoch. Nach Ansicht der Datenschutzbehörde musste sich nämlich das anfragende Unternehmen selbst um eine solche Vereinbarung kümmern und einen Entwurf dem Auftragsverarbeiter vorlegen.
Das Unternehmen sah das anders und verlieh dieser Ansicht auch Ausdruck. Ein Anwalt trat auf den Plan und unterstrich im Auftrag des Unternehmens gegenüber der Behörde noch einmal, dass man den Dienstleister in der Pflicht sah. Die Datenschutzbehörde sah das aber immer noch anders und gab die Angelegenheit nach Hamburg ab. Die Datenschutzbehörde in Hamburg erließ daraufhin gegen das Unternehmen, das nachgefragt hatte, einen Bußgeldbescheid über 5000 €.
Was lernen wir nun aus diesem Verfahren? Besser Abstand halten zu den Datenschutzbehörden? Vielleicht hilft eher ein Blick auf die rechtlichen Grundlagen. Die Auftragsverarbeitung ist in Art. 28 DSGVO geregelt. Hiernach muss – die Verordnung beschreibt das recht detailliert – derjenige, der sich als Verantwortlicher eines Dienstleisters bedient, dafür Sorge tragen, dass der einen ordentlichen Datenschutz einhält. Nach Art. 28 Abs. 3 DSGVO ist Grundlage ein zusätzlicher Vertrag, in dem ein recht engmaschig umschriebener Standard verpflichtend vereinbart wird. In Dienstleistungsketten muss eine lückenlose Verpflichtungskette diesen Standard sichern, Art. 28 Abs. 4 DSGVO.
In der Regelung steht nicht, wer den Entwurf dieser Vereinbarung vorzulegen hat. Es entspricht der gängigen Praxis, dass der Auftragsverarbeiter einen Vertrag vorliegt, denn schließlich weiß er am besten, durch welche konkreten Maßnahmen er den rechtskonformen Umgang mit den zu verarbeitenden Daten gewährleisten will. Und was er überhaupt ganz genau mit Daten macht. Juristisch zwingend ist das aber nicht. Entsprechend hat die Behörde nicht ganz unrecht, wenn sie sich darauf beruft, dass dann, wenn dem Auftraggeber schlicht nicht bekannt ist, was der Auftragsverarbeiter mit den Daten macht, und auch keine Vereinbarung vom Verarbeiter vorgelegt wird, auf die Zusammenarbeit verzichtet werden sollte. Denn in einer solchen Lage ist ja kaum vorstellbar, wie die dargestellte Pflicht zum Abschluss des Vertrages überhaupt sachgemäß eingehalten werden soll.
Allerdings: Dies bedeutet nicht, dass nun panisch jedem Dienstleister, der keinen Auftragsverarbeitungsvertrag vorgelegt hat, die Zusammenarbeit aufzukündigen wäre. Nicht alles, was auf den ersten Blick nach Auftragsverarbeitung aussieht, ist auch eine solche. Dies ist im ersten Schritt sorgfältig zu prüfen. Möglicherweise braucht man ja gar keine solche Vereinbarung. Und dies immerhin lehrt dieser Fall: Bevor sich ein Unternehmen aus einer ungeklärten Situation heraus an eine Behörde wendet, sollte sie für sich Klarheit gewonnen haben, ansonsten besteht stets die Gefahr, einen Sachverhalt lückenhaft, ungenau oder gar unrichtig zu kommunizieren, so dass die Behörde sich genötigt sieht, aktiv zu werden. Denn wenn erst einmal Bescheide in der Welt sind, ist es deutlich aufwendiger, gegen diese anzugehen, als von vornherein abgesichert und klar zu kommunizieren.