Nach einem aktuellen Bericht hat die Landesdatenschutzbehörde in Hamburg kürzlich ein Bußgeld in Höhe von 5000 € gegen ein kleines Unternehmen verhängt, weil trotz (angeblichen) Vorliegens eines Auftragsverarbeitungsverhältnisses im Sinne des Art. 28 Datenschutzgrundverordnung (DSGVO) kein entsprechender Auftragsverarbeitungsvertrag (AVV) mit dem Auftragnehmer geschlossen worden war.
Relevant ist diese Entscheidung, weil Auftragsverarbeitungsverhältnisse in einer Vielzahl von Konstellationen vorkommen, die von zahlreichen Unternehmen bisher nicht hinreichend geregelt sind, was – nach Auffassung der genannten Datenschutzbehörde – offensichtlich erhebliche Bußgelder für den Auftraggeber und den Auftragnehmer auslösen kann.
Fatal ist diese Entscheidung, weil das Bußgeld originär auf eine eigene Anfrage des Unternehmens zurückzuführen ist, in der das Unternehmen die Datenschutzbehörden im Interesse einer beratenden Klärung der Notwendigkeit eines Auftragsverarbeitungsvertrages angefragt hatte. Aus meiner Sicht hat es gravierende Auswirkungen, wenn Unternehmen bei einer Beratungsanfrage zukünftig stets auch mit Bußgeldern rechnen müssen. Entsprechende Vorfälle werden dafür sorgen, dass man Unternehmen zukünftig von einer eigeninitiativen Anfrage bei den Datenschutzbehörden oder einer (freiwilligen) Mitwirkung bei entsprechenden Anfragen eher wird abraten müssen, um (ansonsten vermeidbare) Untersuchungen bzw. etwaige Bußgelder zu vermeiden. Dementsprechend warnt die IHK Südthüringen ihre Mitglieder offensichtlich bereits vor der Teilnahme an einer aktuellen Umfrage der Landesdatenschutzbehörde.
Ein solches Vorgehen der Landesdatenschutzbehörden bzw. die nachfolgenden Warnungen bedrohen die ansonsten bestehenden Kooperationsmöglichkeiten, die gerade aufgrund der Neuheit der DSGVO von großer Bedeutung sind. Landesdatenschutzbehörden, die ihre beratende Funktion ernst nehmen, können Unternehmen sehr nützlich sein. Umgekehrt sind Umfrageergebnisse für die Datenschutzbehörden wichtig, um den Umsetzungsstand vernünftig einschätzen zu können. Schlussendlich kann Zusammenarbeit den Datenschutz und die Umsetzung der DSGVO erheblich fördern.
Das soll gleichwohl nicht heißen, dass Datenschutzbehörden bei Kenntnis gravierender Datenschutzverstöße nicht auch Bußgelder verhängen sollten. Der Datenschutzbehörde sei im vorliegenden Fall auch zugute gehalten, dass sich das betroffene Unternehmen in der Kommunikation mit den Behörden etwas „cleverer“ hätte anstellen können. Bei Sachverhalten, bei denen die Rechtslage – wie nachfolgend erläutert wohl auch vorliegend – sogar unklar zu sein scheint und das Unternehmen sich selbst um Klärung der Rechtslage bemüht hat, sollten Datenschutzbehörden doch mit etwas mehr Augenmaß agieren und die Interpretationsspielräume, die die Bußgeldvorschriften des Art. 83 DSGVO lassen, auch unter Wahrung des Verhältnismäßigkeitsgrundsatzes ausnutzen. Danach ist fraglich, ob ein Bußgeld von 5000 € überhaupt berechtigt bzw. angemessen war.
A. Berechtigung des aktuellen Bußgeldbescheides ?
Richtig ist zunächst, dass ein Unternehmen, welches einen Dritten beauftragt personenbezogene Daten im Auftrag des Unternehmens zu verarbeiten, nach Art. 28 DSGVO zwingend einen Vertrag mit dem Auftragnehmer schließen muss. Dieser Vertrag muss inhaltlich den Vorgaben des Art. 28 Abs.3 DSGVO genügen.
Eine Verarbeitung im Auftrag kann gleichwohl nur angenommen werden, wenn der Auftraggeber über Zweck und Mittel der Datenverarbeitung entscheiden konnte.
Dies war nach der Einschätzung des geschätzten Rechtsanwaltskollegen und Datenschutzexperten Stephan Hansen-Oest, dem der konkrete Sachverhalt und Bußgeldbescheid vorliegen, hier schon überhaupt nicht der Fall.
Unter diesen Voraussetzungen handelt es sich – wie in so vielen Fällen, die weiterhin als Fall des Art. 28 DSGVO angesehen werden – schon nicht um eine Auftragsverarbeitung. Soweit die Weitergabe an einen Dritten im Rahmen der Vertragserfüllung erforderlich ist (wie z.B. die Weitergabe von Kontaktdaten an Postdienstleister bei Warenversendung eines Onlineshops), ist diese zu Vertragszwecken (Art. 6 Abs.1 lit.b DSGVO) ohne weiteres legitimiert. Mangels Auftragsdatenverarbeitung bedarf es natürlich auch keiner entsprechenden Vereinbarung zwischen Unternehmen und Dritten.
Folgt man der nachvollziehbaren Interpretation des Kollegen Hansen-Oest hätte das Bußgeld im vorliegenden Fall also schon gar nicht verhängt werden dürfen, weil keine Auftragsverarbeitung im Sinne des Art. 28 DSGVO vorliegt. Wie bei jedem Bußgeld kann das betroffen Unternehmen auch im vorliegenden Fall mit einem Rechtsmittel gegen die Entscheidung der Landesdatenschutzbehörde vorgehen. In der Hoffnung, dass dies auch im vorliegenden Fall geschieht, muss dann ein Gericht entscheiden, ob das Bußgeld berechtigt und in der Höhe auch verhältnismäßig war. Gegebenenfalls wird man noch von der Angelegenheit hören.
B. Rechtliche Beurteilung der Datenweitergabe an Dritte
Der aktuelle Vorfall zeigt aber, dass die Weitergabe von personenbezogenen Daten an Dritte, der zu Recht eine besondere datenschutzrechtliche Relevanz einzuräumen ist, von datenverarbeitenden Stellen mit Sorgfalt zu prüfen und rechtlich zu bewerten ist.
Je nach konkreter Konstellation sind dann für eine datenschutzkonforme Datenweitergabe auch die jeweiligen Verträge mit dem Dritten zu schließen:
Soweit ein Unternehmen tatsächlich darüber entscheidet, wie und zu welchen Zwecke der Vertragspartner personenbezogene Daten (z.B. der Kunden, Webseitenbesucher oder Mitarbeiter) verarbeitet, liegt eine Verarbeitung im Auftrag im Sinne des Art. 28 DSGVO. Gegebenenfalls ist für den Auftraggeber wie auch den Auftragnehmer zwingend ein dem Art, 28 Abs.3 DSGVO genügender Auftragsverarbeitungsvertrag zu schließen.
In zahlreichen Fällen, in denen Unternehmen weiter von einer Auftragsdatenverarbeitung ausgehen, liegt tatsächlich aber eine gemeinsame Verantwortung im Sinne des Art. 26 DSGVO (wie z.B. bei der Verwendung des Criteo Retargeting) vor. Immer dann wenn das beauftragende Unternehmen nicht allein die Zweck und Mittel der Datenverarbeitung bestimmt, sondern der beauftragte Dritte mitentscheidet, dann handelt es sich um einen Fall der gemeinsamen Verantwortung. Unternehmen, die in diesen Fällen die Unzulässigkeit der Datenverarbeitung und/oder Bußgelder vermeiden wollen, müssen mit dem Dritten ZWINGEND eine Vereinbarung über die gemeinsame Verantwortung (sog. Joint Controllership Agreement) schließen, die die jeweiligen tatsächlichen Funktionen und Beziehungen der gemeinsam Verantwortlichen gegenüber betroffenen Personen den Vorgaben des Art. 26 Abs.1 und 2 DSVGVO entsprechend gebührend widerspiegeln muss. Die aktuellen Entscheidungen des EuGH zur Mitverantwortlichkeit bei Facebookseiten bzw. in Sachen Zeugen Jehovas zeigen die (bedenklich) niedrigen Voraussetzungen einer gemeinsamen Verantwortung, die in einer Vielzahl von unterschätzten Fällen zur Anwendbarkeit des Art. 26 DSGVO und der Notwendigkeit eines Joint Controllership Agreement führt.
Datenverarbeitende Stellen sollten bei der Weitergabe von personenbezogenen Daten an Dritte deshalb systematisch prüfen, ob
- die Datenweitergabe über einen Erlaubnistatbestand aus Art. 6 Abs.1 DSGVO legitimiert werden kann und/oder
- eine Verarbeitung im Auftrag im Sinne des Art. 28 DSGVO vorliegt oder
- eine gemeinsame Verantwortung im Sinne des Art. 26 DSGVO anzunehmen ist und
- das Ergebnis in dem eigenen Verarbeitungsverzeichnis entsprechend dokumentieren.
Die aktuelle Entscheidung der Hamburger Landesdatenschutzbehörde zeigt, dass Bußgelder drohen können, wenn im Falle einer Auftragsverarbeitung (siehe 2.) kein AVV bzw. im Falle einer gemeinsamen Verantwortung (siehe 3.) keine Vereinbarung übe eine gemeinsame Verantwortung (Joint Controllership Agreement) geschlossen worden ist.
Dabei sei noch einmal darauf hingewiesen, dass der Abschluss entsprechender Vereinbarungen für beide Vertragspartner (also auch den Auftragnehmer) nicht nur wegen potentieller Bußgelder, sondern auch zur Vermeidung von Haftungsrisiken von hoher Bedeutung ist.
C. Zusammenfassung zur Datenweitergabe an Dritte unter der DSGVO
Unternehmen erheben und verarbeiten eine Vielzahl personenbezogener Daten der (potentiellen) Kunden, Webseitenbesucher oder auch Mitarbeiter. Neben der Gewährleistung eines hinreichenden Legitimationstatbestandes sollten die Betroffenen stets auch gemäß Art. 13 bzw 14 DSGVO über die anstehende eigene Datenverarbeitung informiert werden.
Die Weitergabe solcher personenbezogener Daten an Dritte birgt ein besonderes Risiko, weil die verantwortliche Stelle die Daten „aus der Hand gibt“. Dies führt dazu, dass das Unternehmen die Datenverwendung bzw. die notwendigen Datensicherheitsmaßnahmen nicht mehr in dem Maß gewährleisten kann, wie bei einer unternehmensinternen Verarbeitung.
Demgemäß sollten Unternehmen der Weitergabe an (vertrauenswürdige) Dritte zur Vermeidung von Bußgeldern, Haftungs- wie auch Reputationsrisiken ein besonderes Augenmerk widmen. Dies ist auch unter den neuen Vorgaben der DSGVO in vielen Fällen leider (noch) nicht der Fall, obwohl Datenpannen bei Dritten in aller Regel auf das weitergebende Unternehmen zurückfallen, weil in aller Regel dessen Kunden betroffen sind.
Die systematische Aufarbeitung der regelmäßig wiederkehrenden Prozesse einer Datenweitergabe an Dritte ist kein Hexenwerk. Die Prozesse sollten den oben stehenden Grundlagen entsprechend bewertet werden, um nachfolgend den jeweiligen Vertrag mit dem Dritten zu schließen und die eigene Einschätzung im Verarbeitungsverzeichnis zu dokumentieren.
Datenverarbeitende Stellen, die diese Vorgaben berücksichtigen, reduzieren datenschutzrechtliche Risiken ganz erheblich. Selbst wenn eine Einschätzung nach Auffassung der Datenschutzbehörden falsch sein sollte, wird die Behörde in vielen Fällen allenfalls von einem fahrlässigen Verstoß ausgehen können, was gemäß Art. 83 Abs.2 lit.b DSGVO bei der Verhängung eines Bußgeldes zu berücksichtigen ist. Gegebenenfalls wird es nur eine Verwarnung bzw. ein der „Schwere“ des (nur) fahrlässigen Verstoßes angemessenes Bußgeld geben können.
Unternehmen, die die entsprechenden Anforderungen der DSGVO ignorieren, drohen hingegen dann aufgrund eines vorsätzlichen Verstoßes deutlich höhere Bußgelder.
Insgesamt bleibt aber zu hoffen, dass der aktuelle Fall keine Schule macht und Unternehmen bei einer eigenen Anfrage nicht immer auch Repressalien der Datenschutzbehörden fürchten müssen. Sonst wird eine (häufig sinnvolle) Zusammenarbeit eher die Ausnahme bleiben. Um etwaige Risiken der „Verfolgung“ eines potentiellen Datenschutzverstoßes zu vermeiden, haben wir einige Beratungsanfragen bei den Landesdatenschutzbehörden, die wir für Mandanten zur Klärung der Rechtslage gestellt haben, bisher ohne ausdrückliche Nennung des Mandanten eingereicht.
Zur Ehrenrettung der Datenschutzbehörden sei gesagt, dass wir bei unseren bisherigen entsprechenden Anfragen (vor allem mit der Landesdatenschutzbehörde Baden-Württemberg) auch schon sehr gute Erfahrungen gemacht haben. In einem kürzlichen Fall, in dem auch das (Nicht-)Vorliegen einer Auftragsverarbeitung zu klären war, haben wir trotz erheblicher Arbeitsbelastung des LfDI Baden-Württemberg eine schnelle und kompetente Antwort erhalten, die dem Mandanten erheblich mehr Rechtssicherheit verschafft hat.
Dennoch sollten Unternehmen derzeit sehr genau prüfen, wie und welche Informationen bei einer eigenen Anfrage zur Klärung der Rechtslage bzw. einer Auskunftsanfrage oder Umfrage der jeweiligen Datenschutzbehörde mitgeteilt werden, um rechtliche Weiterungen durch „zu viele“ oder schädliche Informationen möglichst zu vermeiden.
[…] > Dr. Carsten UlbrichtDatenschutzbehörde verhängt 5000 € Bußgeld wegen fehlendem Auftragsverarbeitung… Relevant ist diese Entscheidung, weil Auftragsverarbeitungsverhältnisse in einer Vielzahl von […]