In den vergangenen Wochen haben mehrere Meldungen über Bußgelder aufgrund von Datenschutzverletzungen – mit teilweise spektakulären Summen – große Aufmerksamkeit erregt. Eine Entscheidung der Datenschutzbehörde Hamburg betrifft nun speziell die Auftragsverarbeiter gemäß Art. 28 DSGVO.
Das sind Dritte, die im Auftrag eines anderen Daten verarbeiten. Mit solchen Auftragsverarbeitern muss eine vertragliche Vereinbarung zur Wahrung des Datenschutzes geschlossen werden. In der Pflicht ist dabei nicht nur der Verarbeiter/Dienstleister, sondern auch der Auftraggeber, der dafür sorgen muss, dass es zu einem solchen Vertrag kommt. Im konkreten Fall hat die Hamburger Datenschutzbehörde ein Bußgeld von 5000 Euro gegen ein Unternehmen verhängt, weil ein solcher Vertrag mit einem spanischen Dienstleister offenbar nicht vorhanden war.
Die Entscheidung betrifft auch Kommunen, denn sie bedienen sich in der Regel unzähliger Auftragsverarbeiter für die unterschiedlichsten Leistungen, von IT-Services über Versicherungen bis zur Telefonzentrale. Kommunale Verwaltungen sollten daher sichergehen, dass mit jedem Dienstleister, der für sie personenbezogene Daten verarbeitet, eine Datenschutzvereinbarung geschlossen wird.
Von Dipl.-Jur. Niklas Mühleis, LL.M., Kanzlei Heidrich Rechtsanwälte in Hannover, www.recht-im-internet.de