Die Hamburger Datenschutzbehörde hat im Dezember 2018 einen Bußgeldbescheid über 5.000 Euro an das kleine Versandunternehmen Kolibri Image versandt. Das Unternehmen hatte einen Auftrag zur Datenverarbeitung vergeben und darüber keinen schriftlichen Vertrag abgeschlossen.
Kurios: Erst ein Hilfeersuchen der Firma selbst weckte den Tatendrang der Datenschützer.
Der Fall, Teil 1: Hamburger Firma bittet Hessischen Datenschutzbeauftragten um Rat
Die Firma Kolibri Image beauftragte die spanische Versandfirma Packlink, ihre Waren günstig per Expressversand an die Kunden zu liefern. Zur Sicherheit baten die Auftraggeber von Kolibri Image die deutsche Niederlassung von Packlink in Neu-Isenburg um einen Vertragsentwurf. Dort stieß die Anfrage auf Unverständnis, und nach längeren Diskussionen wurden die Verantwortlichen von Kolibri Image an deren Datenschutzbeauftragten am Hauptsitz in Madrid verwiesen. Sie erhielten von diesem nur einen Link auf die Datenschutzerklärung.
Da Neu-Isenburg in Hessen liegt, befragten die Verantwortlichen der Kolibri Image den Hessischen Beauftragten für den Datenschutz im Mai 2018 um Rat. Dieser meinte es sei Pflicht, eine solche Vereinbarung abzuschließen, nicht nur für den Dienstleister, sondern auch für den Auftraggeber, der als datenschutzrechtlich Verantwortlicher gilt. Die Firma Kolibri Image müsse daher selbst eine entsprechende Vereinbarung verfassen und an den Auftragsverarbeiter zu Unterschrift schicken. Hierfür gibt es Vorlagen, z.B. beim Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI).
Die Rechtslage
Werden personenbezogene Daten im Auftrag eines Verantwortlichen durch andere Personen oder Stellen verarbeitet, hat der Verantwortliche für die Einhaltung der Vorschriften der DSGVO und anderer Vorschriften über den Datenschutz zu sorgen (DSGVO Artikel 28, § 62 BDSG). Im Vertrag festzulegen sind,
- der Gegenstand,
- Dauer, Art und Zweck der Verarbeitung,
- Art der personenbezogenen Daten,
- die Kategorien betroffener Personen und
- die Rechte und Pflichten des Verantwortlichen.
Wird das unterlassen, kann nach Art. 83 Abs. 4 DSGVO ein Bußgeld verhängt werden.
Die Verantwortlichen von Kolibri Image argumentieren, dass sie nicht informiert sein konnten, welche Datenprozesse und Verantwortlichkeiten auf Seiten des Auftragnehmers bestehen. Sie wollten auch nicht einen teuren IT-Anwalt beauftragen, das Ergebnis anschließend auf eigene Kosten ins Spanische übersetzen zu lassen und dies dann an den Hauptsitz des Auftragsdienstleisters in Madrid zu senden, mit der Aufforderung, zu unterschreiben. Dieses Verfahren ist kompliziert, und dass der Auftraggeber dann unterschreibt, nicht sicher. Also verzichtete Kolibri Image auf die weitere Zusammenarbeit mit dem Anbieter und suchte einen anderen Dienstleister.
Der Fall, Teil 2: Hamburger Datenschutzbehörde wird informiert und erlässt Bußgeld
Die Verantwortlichen von Kolibri Image hielten es nicht für nötig, den Datenschutzbeauftragten von Hessen auf den Abbruch der Geschäftsbeziehungen mit Packlink hinzuweisen. Dieser leitete das Verfahren an den Hamburgischen Datenschutzbeauftragten (HHDSB) weiter.
Der HHDSB lud die Kolibri-Verantwortlichen zunächst zu einer schriftlichen Anhörung zur Einleitung eines Bußgeldverfahrens von bis zu 10 Mio. Euro ein. Diese reagierten mit einer anwaltlichen Stellungnahme, in der der Sachverhalt dargestellt wurde. Aus Sicht des HHDSB wurde die anwaltliche Darstellung durch einen formalen Fehler widerlegt. Der Hinweis auf Packlink wurde in einer der sechs Datenschutzerklärungen der Kolibri Image nicht sofort gelöscht.
Die Entscheidung
Der Beauftragte aus Hamburg betrachtet das Verhalten der Kolibri Image als einen Verstoß gegen Art. 28 Abs. 3 DSGVO.
Das Bußgeld wurde damit begründet, dass nach Ansicht der Hamburger Behörde schützenswerte Daten ohne Rechtsgrundlage an den Dienstleister übermittelt wurden. Erschwerend wirke sich aus, dass man diese Praxis aufrechterhalten habe, obwohl dem Unternehmen die Datenverarbeitungsprozesse des Verarbeiters zugestanden nicht bekannt waren. Auch der Hinweis auf hohe Kosten für eine Übersetzung wirke nicht strafmildernd. Man hätte im Gegenteil zwingend von der Beauftragung des Dienstleisters absehen müssen, denn spätestens nach der Auskunft der Hessener Behörde sei die Rechtslage klar gewesen. Es liege also ein vorsätzlicher Verstoß gegen das Gesetz vor.
Rechtsexperten zweifeln Zulässigkeit des Bußgeldbescheids an
Die Verantwortlichen von Kolibri Image haben einige Medien über den Fall informiert und diesen auch auf ihrer eigenen Webseite dargestellt. Inzwischen haben sie auch Widerspruch gegen den Bußgeldbescheid eingelegt. „Der Bußgeldbescheid wird von namhaften Rechtsexperten für sehr wahrscheinlich rechtswidrig gehalten und wohl bis auf Weiteres für kontroverse Diskussionen sorgen“.
Beispielsweise meint Rechtsanwalt Dr. Bahr dazu: „Solange nicht genau bekannt ist, was der beauftragte Postdienstleister genau macht, kann nicht abschließend beurteilt werden, ob nun objektiv eine Auftragsverarbeitung vorliegt - oder eben nicht.“
Die Verantwortlichen von Kolibri Image meinen, niemand hätte ihnen zweifelsfrei und rechtssicher nachweisen können, ob ein Auftragsverarbeitungsvertrag überhaupt nötig gewesen wäre, weder die Datenschutzbeauftragten noch ausgewiesene Datenrechtsexperten, auch nicht die Wettbewerber von Packlink.
Weiter kritisierten die Verantwortlichen von Kolibri Image, dass in Deutschland ein Kleinunternehmen in Bezug auf Datenschutz fast den gleichen Aufwand wie ein Mittelständler leisten muss - bei völlig unterschiedlichen Ertragsbedingungen. Es könne auch nicht sein, dass vertrauensvolle Anfragen bei Datenschutzbeauftragten zum Bumerang werden. Man dürfe erwarten, dass wenigstens grobe rechtliche Unklarheiten vom Gesetzgeber und nicht von den Betroffenen durch jahrelanges Klagen von Instanz zu Instanz an völlig überlasteten Verwaltungsgerichten gelöst werden.
Weitere Artikel:
Strafen wegen Verstößen gegen die Datenschutzgrundverordnung
Integrität in der Informationssicherheit
IT Sicherheitskonzept für kleine Unternehmen