DSGVO Bußgeld – 5.000 EUR kostet ein fehlender AV-Vertrag
Nicht nur der Auftraggeber ist Verantwortlich!
Jetzt mal Hand aufs Herz: Haben Sie tatsächlich mit jedem Datenverarbeiter einen AV-Vertrag geschlossen? Wahrscheinlich nicht, denn gerade hier wird gerne mal „geschludert“. Aber wenn Sie denken, dass Sie als Auftragnehmer für einen fehlenden AV-Vertrag nicht belangt werden können, dann sollten Sie diesen DSGVO.watch Artikel unbedingt lesen! …
AV-Vertrag Problematik kurz erklärt
Wenn ein Vertragsverarbeiter personenbezogene Daten ohne einen rechtmäßigen AV-Vertrag verarbeitet, kann dies zu rechtlichen Konsequenzen führen. Die genaue Strafe oder Sanktion hängt von den individuellen gesetzlichen Bestimmungen des jeweiligen Landes ab, in dem die Verarbeitung stattfindet.
In vielen Ländern wird die Verarbeitung personenbezogener Daten ohne AV-Vertrag als Verstoß gegen die Datenschutzgesetze angesehen, was zu Geldstrafen oder anderen sanktionären Maßnahmen führen kann. Diese Strafen können je nach Schwere der Verletzung und den Auswirkungen auf die betroffenen Personen variieren.
DSGVO Bußgeld kann die Reputation schädigen!
Es ist wichtig zu beachten, dass es nicht nur rechtliche Konsequenzen gibt, sondern auch einen möglichen Verlust des Vertrauens der Betroffenen, was zu Reputations- und Image-Schäden für das Unternehmen führen kann.
Um solche rechtlichen Probleme zu vermeiden, ist es daher ratsam, immer einen rechtmäßigen AV-Vertrag abzuschließen, wenn personenbezogene Daten an einen Vertragsverarbeiter übergeben werden, um sicherzustellen, dass die Datenverarbeitung den gesetzlichen Anforderungen entspricht.
5.000 EUR Bußgeld wegen fehlendem AV-Vertrag in Hessen
Eine Hamburger Firma hat nach Einschätzung der Datenschutzbehörde gegen die Bestimmungen der Datenschutzverordnung verstoßen. Der Grund dafür war das Fehlen eines Vertrags zur Auftragsverarbeitung. Der Bußgeldbescheid wurde gemäß Artikel 83 Absatz 4 der Datenschutz-Grundverordnung (DSGVO) ausgestellt und beläuft sich auf einen Betrag von 5.000 Euro.
Was war geschehen?
Im Mai 2018 wandte sich das Unternehmen an den Hessischen Beauftragten für Datenschutz und bat um Beratung. Ein Dienstleister, der Kundendaten für das Unternehmen verarbeitete, hatte trotz mehrfacher Aufforderung keinen Vertrag zur Auftragsverarbeitung vorgelegt. In seiner Antwort wies die Datenschutzbehörde das Unternehmen darauf hin, dass sie als Auftraggeber in der Verantwortung stehen und selbst eine Vereinbarung zur Auftragsverarbeitung erstellen müssen. Diese sollte dem Dienstleister zur Unterschrift vorgelegt werden. Die Datenschutzbehörde verwies auch auf Vorlagen, die von ihr zur Verfügung gestellt wurden.
Das Unternehmen entschied sich jedoch dagegen, dem Rat zu folgen, da es der Ansicht war, dass der Vertragspartner die Pflicht hätte, den Vertrag zu erstellen. Selbst ein hinzugezogener Anwalt lehnte die Empfehlung der Behörde ab. Als Gründe wurden unter anderem mangelnde Kenntnisse über die internen Prozesse des Dienstleisters und auch die Kosten für eine Übersetzung genannt, da es sich um ein spanisches Unternehmen handelte.
Datenschutzbehörde Hessen verhängt 5.000 EUR Geldbuße
Die Datenschutzbehörde in Hessen interpretierte die Reaktionen des Unternehmens als mangelnde Bereitschaft, die Datenschutznormen der DSGVO umzusetzen, und leitete den Fall an ihre Kollegen in Hamburg weiter. Diese verhängten eine Geldbuße in Höhe von 5.000 Euro. Dem Unternehmen wird vorgeworfen, Kundendaten ohne rechtliche Grundlage an einen Dienstleister weitergegeben zu haben. Aufgrund des fehlenden Vertrags zur Auftragsverarbeitung hätte die Zusammenarbeit erst gar nicht stattfinden dürfen. Zudem wurde dem Unternehmen vorgehalten, mangelnde Kooperationsbereitschaft gezeigt zu haben, indem es der Empfehlung der hessischen Datenschutzbehörde nicht gefolgt ist.
Kooperative Zusammenarbeit mit Datenschutzbehörden spart Geld
Selbst für kleinere Unternehmen besteht keine Aussicht auf Straffreiheit. Es ist ratsam, auch bei kleinen „Verstößen“ die Vorschriften der DSGVO strikt einzuhalten und sich gegebenenfalls von einem Anwalt bei der Umsetzung beraten zu lassen. Eine kooperative Zusammenarbeit mit den Datenschutzbehörden kann bares Geld sparen.
Woher bekommen Sie ein AV-Vertrag Muster?
Es gibt verschiedene Möglichkeiten, ein Muster für einen Auftragsverarbeitungsvertrag (AV-Vertrag) zu erhalten:
1. Datenschutzbehörden: Viele Datenschutzbehörden stellen auf ihrer Website kostenlose Muster AV-Verträge zur Verfügung. Diese Muster können als Leitfaden dienen und an die individuellen Bedürfnisse und Anforderungen angepasst werden.
2. Branchenverbände: Branchenverbände oder Interessengruppen bieten oft AV-Vertragsmuster an, die speziell auf die Bedürfnisse der jeweiligen Branche zugeschnitten sind. Eine Recherche nach branchenspezifischen Verbänden oder Vereinigungen kann hilfreich sein.
3. Externe Quellen: Es gibt auch kommerzielle Anbieter oder Rechtsportale, die kostenpflichtige Muster für AV-Verträge anbieten. Diese Muster können detaillierter sein und eine größere Bandbreite von Klauseln enthalten, die spezifischen rechtlichen Anforderungen gerecht werden sollen.
Es ist wichtig zu beachten, dass ein AV-Vertrag an die individuellen Gegebenheiten des Unternehmens und der Datenverarbeitung angepasst werden sollte. Daher ist es ratsam, das Muster als Ausgangspunkt zu verwenden und es gegebenenfalls von einem Rechtsberater prüfen zu lassen, um sicherzustellen, dass alle relevanten Aspekte angemessen berücksichtigt werden.