Bei Aufsichtsbehörde angefragt – Bußgeld kassiert!

News

Auf heise.de wurde am 20.01.2019 die Meldung veröffentlicht, dass der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) mit Bescheid vom 17.12.2018 gegen das Hamburger Unternehmen Kolibri Image ein Bußgeld in Höhe von 5.000,00 Euro (sowie weiteren 250,00 Euro Gebühren) verhängt hat. Dieses hatte zuvor bei der hessischen Aufsichtsbehörde eine Rechtsauskunft erbeten.

Was ist passiert?

Folgender Sachverhalt soll dem vorausgegangen sein: Kolibri Image habe im Mai 2018 beim Hessischen Beauftragten für Datenschutz und Informationsfreiheit in eigener Initiative um Rat gebeten. Ein vom Unternehmen beauftragter, offensichtlich in Spanien ansässiger Dienstleister verarbeite für sie Kundendaten. Trotz mehrfacher Aufforderung habe der Dienstleister jedoch keinen Vertrag zur Auftragsverarbeitung übersendet. Nun sei man sich unsicher, wie man darauf reagieren solle.

Die Behörde habe dazu geantwortet, dass Kolibri Image selbst nach DSGVO Verantwortliche sei. Sie treffe deshalb ebenfalls eine Pflicht, eine entsprechende Vereinbarung zu erwirken und an den Dienstleister zur Unterschrift zu übersenden. Für derartige Auftragsverarbeitungsverträge (AVV) stünden auf Seiten der Behörde Vorlagen zur Verfügung.

Was sagt das betroffene Unternehmen?

Kolibri Image habe darauf geantwortet, diese Arbeit wolle man sich nicht machen. Nach ihrer Auffassung sei das Pflicht des Dienstleisters. Der von Kolibri Image im Weiteren beauftragte Rechtsanwalt habe im November 2018 gegenüber der Behörde klargestellt, dass es sich bei der Anfrage vom Mai 2018 lediglich um eine vorsorgliche Maßnahme gehandelt habe. Einen entsprechenden Vertrag zur Auftragsverarbeitung (AVV) wolle er aber auch nicht verfassen, da man die internen Prozesse des Dienstleisters nicht kenne und eine Übersetzung des Dokuments ins Spanische zu teuer sei.

Was sagt die zuständige Aufsichtsbehörde?

Die hessische Aufsichtsbehörde leitete den Sachverhalt daraufhin wegen der örtlichen Zuständigkeit an den HmbBfDI weiter. Dieser sah darin einen Verstoß gegen Art. 28 Absatz 3 DSGVO. Nach dieser Vorschrift darf die Verarbeitung von personenbezogenen Daten durch einen Dritten nur aufgrund eines zusätzlichen Auftragsverarbeitungsvertrags geschlossen werden, der weitere Bestimmungen zum Schutz der Daten enthält.

Ein solcher Vertrag sei, so die Hamburgische Aufsichtsbehörde, vorliegend aber zwischen Kolibri Image und dem Dienstleister nicht geschlossen worden, obwohl eine Verarbeitung im Auftrag vorliege. Den ergänzenden Ausführungen des Anwalts, wonach es sich um eine rein prophylaktische Anfrage gehandelt habe, wollte die Behörde nicht folgen. Der Dienstleister werde in der Datenschutzerklärung von Kolibri Image als Verarbeiter genannt und die Formulierungen in der ersten E-Mail des Unternehmens seien zudem widersprüchlich zu den weiteren Angaben des Bevollmächtigten gewesen.

Auf der Tatsache, dass schützenswerte Daten ohne Rechtsgrundlage übermittelt worden seien und weil diese Praxis aufrechterhalten worden sei, obwohl die Verarbeitungsprozesse des Dienstleisters nicht explizit bekannt seien, gründe sich nach Auffassung der Behörde das Bußgeld in Höhe von 5.000,00 Euro. Nicht strafmildernd berücksichtigt werden könnten nach Ansicht des HmbBfDI die hohen Kosten für eine Übersetzung des AVVs ins Spanische. Stattdessen müsse beachtet werden, dass das Unternehmen trotz Kenntnis der Rechtslage sich vorsätzlich dagegen entschieden habe, rechtskonform zu handeln und von der weiteren Beauftragung des Dienstleisters nicht abgesehen habe. Es sei weder das Schreiben der Behörde ernst genommen, noch seien deren Formulierungshilfen verwendet worden. Stattdessen habe Kolibri Image nicht mit der Behörde kooperiert und versucht, sich durch widersprüchlichen Vortrag aus der Verantwortung zu ziehen.

Kolibri Image kündigte bereits an, gegen den Bescheid in Widerspruch zu gehen.

Hätte man es besser machen können?

Sicher ist zunächst, dass nichts sicher ist. Der Bußgeldbescheid selbst, der den zugrundeliegenden Sachverhalt tatbestandlich wiedergibt, ist hier nicht bekannt, dementsprechend müssen Mutmaßungen über etwaiges Fehlverhalten der Beteiligten Mutmaßungen bleiben. Die Meinungen im Netz zu diesem Sachverhalt bewegen sich jedenfalls zwischen „schlechte Werbung für die Kommunikation zwischen Aufsichtsbehörden und Verantwortlichen“ und „selbst schuld, mit diesem Verhalten legt man es geradezu darauf an, ein Bußgeld zu kassieren“. Stephan Hansen-Oest will Sachverhalt und Bußgeldbescheid eingesehen haben und meint, die Entscheidung der Behörde sei rechtswidrig. Er begründet dies damit, dass aus seiner Sicht kein Auftragsverarbeitungsverhältnis vorliege, was von der Behörde noch nicht mal geprüft worden sei.

So oder so bietet der Vorgang m.E. aus datenschutzrechtlicher Sicht zwei Lehren:

  1. Die Frage, ob zwischen Verantwortlichem und Dritten ein Auftragsverarbeitungsverhältnis vorliegt, gehört zu den umstrittenen Bereichen des Datenschutzrechts und ist mitunter nur schwer rechtssicher zu beantworten. Im Zweifelsfall sollte dazu – sofern bestellt – der Datenschutzbeauftragte konsultiert, jedenfalls aber fundierter (juristischer) Rat eingeholt werden.
  1. Bei der Kommunikation mit Aufsichtsbehörden ist ebenfalls Vorsicht geboten. Zwar bestehen unter gewissen Umständen gesetzliche Meldepflichten für Verantwortliche (siehe dazu unseren Beitrag „Selbstbelastungsfreiheit vs. Mitwirkungspflicht beim Datenschutzverstoß„). Diese stehen jedoch in einem Spannungsverhältnis zur Selbstbelastungsfreiheit, wozu wir ebenfalls einen Artikel veröffentlicht haben. Es empfiehlt sich daher, vor einer Meldung bei der Aufsichtsbehörde, ebenfalls datenschutzrechtlichen Rat einzuholen und die Kommunikation abzustimmen, damit man sich nicht um Kopf und Kragen redet.

Update vom 05.04.2019

Wie das Unternehmen am 03.04.2019 auf seiner Homepage bekannt gemacht hat, wurde der Bußgeldbescheid durch den HmbLfDI jetzt zurückgenommen und das Verfahren eingestellt.

Ap­ro­pos um Kopf und Kragen reden – Dr. Datenschutz Podcast Folge 2

Nach nur einer Folge haben sich die zwei Stimmen von Dr. Datenschutz in die (wohlverdiente) Winterpause verabschiedet. Nun sind Melanie und Cornelius zurück: Neues Jahr, neuer Skandal, neue Hoffnung. Dieses Mal geht es um den Hackerangriff auf deutsche Politiker und Prominente, Passwortsicherheit sowie den Amtsantritt des neuen Bundesbeauftragten für Datenschutz und Informationsfreiheit.

Wie immer freuen wir uns über Feedback, Anregungen und konstruktive Kritik. Bei diesem neuen Format ist noch lange nichts in Stein gemeißelt. Um über neue Veröffentlichungen des Podcasts sofort informiert zu werden, folgen Sie uns auf einer Plattform ihrer Wahl wie Spotify oder iTunes. Andernfalls können Sie auch einfach die URL: ihrer Podcast-App hinzufügen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Ein Kommentar zu diesem Beitrag

  1. Es ist wie sie schreiben: „nichts Genaues weiß man nicht“. Aus dem was man liest, scheint die Annahme gerechtfertigt, dass das Verhalten aller Akteure ungeschickt war. Als Verantwortlicher gegenüber einer Aufsichtsbehörde zu äußern, ein AVV (sofern ein AVV-Verhältnis vorliegt) sei „zu viel Arbeit oder Aufwand“ ist schlicht unklug. Zumal es die Frage aufwirft, inwieweit der Verantwortliche den Auftragnehmer auch sorgfältig ausgewählt hat.

    Man mag der ASB reflexhaftes Verhalten im Form eines Bußgeldbescheides vorwerfen, wo eine Beratung vielleicht die sinnvollere Alternative gewesen wäre.

    Leider bleibt das Spekulation, bis der Fall (hoffentlich) transparent geklärt wird.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.