EU-DSGVO: Auftrags­verarbeitung ohne Ver­trag kommt teuer

In den ver­gan­genen Wochen haben mehrere Mel­dun­gen über Buß­gelder auf­grund von Daten­schutz­verletzungen – mit teil­weise spek­ta­ku­lä­ren Summen – große Auf­merk­sam­keit er­regt. Eine Ent­schei­dung der Daten­schutz­behörde Ham­burg be­trifft nun spe­ziell die Auf­trags­verarbeiter gemäß Art. 28 DSGVO.

Das sind Dritte, die im Auftrag eines anderen Daten verarbeiten. Mit solchen Auftragsverarbeitern muss eine vertragliche Vereinbarung zur Wahrung des Datenschutzes geschlossen werden. In der Pflicht ist dabei nicht nur der Verarbeiter/Dienstleister, sondern auch der Auftraggeber, der dafür sorgen muss, dass es zu einem solchen Vertrag kommt. Im konkreten Fall hat die Hamburger Datenschutzbehörde ein Bußgeld von 5000 Euro gegen ein Unternehmen verhängt, weil ein solcher Vertrag mit einem spanischen Dienstleister offenbar nicht vorhanden war.

Die Entscheidung betrifft auch Kommunen, denn sie bedienen sich in der Regel unzähliger Auftragsverarbeiter für die unterschiedlichsten Leistungen, von IT-Services über Versicherungen bis zur Telefonzentrale. Kommunale Verwaltungen sollten daher sichergehen, dass mit jedem Dienstleister, der für sie personenbezogene Daten verarbeitet, eine Datenschutzvereinbarung geschlossen wird.

Von Dipl.-Jur. Niklas Mühleis, LL.M., Kanzlei Heidrich Rechtsanwälte in Hannover, www.recht-im-internet.de