Fehlender Vertrag und beiderseitige Pflicht
Das betroffene Versandunternehmen aus der Hansestadt Hamburg arbeitete unter anderem mit einem spanischen Dienstleister zusammen. Um dem Erfordernis des Art. 28 Abs. 3 DS-GVO gerecht zu werden, forderte das Unternehmen seinen Dienstleister auf, einen Vertrag zur Auftragsverarbeitung zuzusenden. Dieser aber kam der Aufforderung nicht nach. Als das Ersuchen des Hamburger Unternehmens gegenüber seinem Dienstleister auch nach mehrmaligen Versuchen erfolglos blieb, wandte dieses sich im Mai 2018 an die zuständige Aufsichtsbehörde.
Die Behörde beantwortete die Anfrage unter Verweis auf die beiderseitige Pflicht aus Art. 28 Abs. 3 DSGVO zum Abschluss eines Vertrages über die Auftragsverarbeitung. Diese treffe den Auftraggeber ebenso wie den Dienstleister. Der Auftraggeber sei deshalb gehalten, selbst einen Vertrag zu entwerfen und diesen seinem Dienstleister zur Verfügung zu stellen, um die Unterzeichnung anzuregen. Das Unternehmen sah den Entwurf eines entsprechenden Vertrags in spanischer Sprache indes als Pflicht allein des Dienstleisters und folgte der Empfehlung nicht. Die vermeintliche Auftragsverarbeitung durch den Dienstleister erfolgte trotzdem weiterhin.
Eigeninitiative zum Bußgeld
Eigentlich hatte der Versender nur Rat gesucht. Am 17.12.2018 nun verhängte die erst durch die Anfrage auf den Sachverhalt aufmerksam gewordene Behörde aber ein Bußgeld gemäß Art. 93 Abs. 4 lit. a) Var. 3 DS-GVO in Höhe von 5.000,00 € gegen das Unternehmen. Sie wies darauf hin, dass trotz des Fehlens der erforderlichen Vereinbarung eine Auftragsverarbeitung vermeintlich stattfand. Zudem sei dem Unternehmen spätestens mit Beantwortung der Anfrage durch die Behörde die Rechtslage bekannt gewesen. Dennoch sei es seinen Pflichten nicht nachgekommen. Das Unternehmen hätte von der Zusammenarbeit mit dem Dienstleister zwingend absehen müssen.
Kritik an der Entscheidung
Die Entscheidung der Behörde steht vielerorts in der Kritik. Dies zum Einen, da die Behörde nur auf Anfrage des betroffenen Unternehmens selbst auf den Sachverhalt aufmerksam wurde und zum Anderen, da im vorliegenden Fall nicht mit Sicherheit festgestellt werden kann, ob überhaupt eine Auftragsverarbeitung im Sinne der DS-GVO erfolgte.
Folgen für die Praxis
Unabhängig von der geäußerten Kritik verdeutlicht die Entscheidung jedoch den Umstand, dass auch den Auftraggeber die Pflicht zum Abschluss eines Vertrages zur Auftragsverarbeitung trifft. Dieser kann sich nicht schadlos halten, indem er auf die fehlende Zuarbeit seines Dienstleisters verweist. Unternehmen sollten daher genau prüfen, in welchen Auftragsverhältnissen es zu einer Auftragsverarbeitung kommt und im Zweifel von einer Zusammenarbeit absehen, wenn der Dienstleister eine entsprechende Vereinbarung nicht unterzeichnet.
Ein gewisser Zwiespalt ergibt sich in Bezug auf die Kontaktaufnahme zur Datenschutzbehörde. So wird jede Aufsichtsbehörde entsprechende Verfahren einleiten, wenn sie Defizite in der Umsetzung der DS-GVO zu erkennen glaubt. Zugleich zeigt der Fall, dass das Bußgeld erst verhängt wurde, nachdem das betroffene Unternehmen sich bewusst gegen die Empfehlung der Behörde entschied. Die mangelhafte Kooperationsbereitschaft konnte sich damit nicht gänzlich strafmildernd entfalten. Letztlich wird man abwägen müssen. Bei der zuständigen Aufsichtsbehörde Rat zu suchen, sollte keineswegs gänzlich ausgeschlossen werden. Dennoch darf entschieden um eine gewisse Zurückhaltung und Risikoprognose im Einzelfall gebeten werden.