Schlagwort: Auftragsverarbeitung
24. April 2023
Am 12.01.2023 hat der Europäische Gerichtshof in einem Urteil bestätigt, was Datenschützer bereits vermutet hatten: Bei der Bearbeitung eines Antrags auf Auskunft gemäß Artikel 15 der Datenschutz-Grundverordnung müssen Verantwortliche in erster Linie die konkreten Empfänger nennen und dürfen nur in Ausnahmefällen auf Empfängerkategorien verweisen (wir berichteten).
Als Konsequenz dieses Urteils stellen sich in der Praxis zahlreiche Fragen: Ist es erforderlich, eine ladungsfähige Adresse anzugeben? Wie weit erstreckt sich der Empfängerbegriff? Müssen ausschließlich direkte Empfänger, einschließlich Auftragsverarbeiter, genannt werden, oder muss die Auskunft auch Angaben zu deren Dienstleistern enthalten?
Subunternehmer können auch Empfänger sein
In Situationen, in denen der Empfänger personenbezogener Daten eines Verantwortlichen ein Auftragsverarbeiter ist, könnte es zunächst akzeptabel sein, lediglich den Auftragsverarbeiter als direkten Empfänger zu benennen und nicht auch dessen eigene Empfänger wie z.B. Dienstleister. Die Praktikabilität der Bearbeitung von Auskunftsersuchen wird oft als Hauptargument für diese Meinung genannt. Es wird argumentiert, dass die Erwähnung von Subunternehmen des Auftragsverarbeiters den Zeitaufwand für die Bearbeitung von Auskunftsersuchen erhöhen würde, was für Verantwortliche unzumutbar ist.
Jedoch wird dabei übersehen, dass der Verantwortliche normalerweise Kenntnis über Dienstleister oder Subunternehmen des Auftragsverarbeiters haben sollte (z.B. durch Nennung in einem Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO). Der Mehraufwand für die Nennung von Subunternehmen ist daher nicht unbedingt unangemessen und kann dem Verantwortlichen zugemutet werden. Darüber hinaus spricht auch der Zweck von Art. 15 DSGVO, dem Betroffenen eine umfassende Auskunft über die Verarbeitung seiner personenbezogenen Daten zu erteilen, für eine breite Auslegung des Empfängerbegriffs. Das Interesse des Verantwortlichen, die Bearbeitung von Betroffenenrechten möglichst praktikabel umzusetzen, kann diesen Zweck nicht überschatten.
Es ist auch wichtig zu beachten, dass der Empfängerbegriff in Art. 4 Nr. 9 DSGVO weit ausgelegt werden sollte und alle Personen oder Stellen umfasst, denen personenbezogene Daten offengelegt werden – unabhängig davon, ob sie Dritte sind. Aus dem Umkehrschluss der Definition des Dritten in Art. 4 Nr. 10 DSGVO ergibt sich, dass auch alle Personen oder Stellen außerhalb des Verantwortlichen erfasst sind, die befugt sind, personenbezogene Daten unter der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters zu verarbeiten. Dies schließt alle Unterauftragnehmer ein, die vom Auftragsverarbeiter des Verantwortlichen als weitere Auftragsverarbeiter eingesetzt wurden.
Der Empfängerbegriff in der Praxis
Ein Beispiel aus der Praxis von Konzernen verdeutlicht die Bedeutung der Auslegung des Empfängerbegriffs. In der Regel gibt es eine Servicegesellschaft innerhalb des Konzerns, die ihren Schwester- oder Muttergesellschaften IT-Services zur Verfügung stellt und als Auftragsverarbeiter fungiert. Eine enge Auslegung des Empfängerbegriffs würde bedeuten, dass das datenschutzrechtlich verantwortliche Unternehmen bei der Bearbeitung eines Auskunftsersuchens nur diese eine Schwester- oder Tochtergesellschaft als Auftragsverarbeiterin angeben müsste. Dies würde das Auskunftsrecht des Betroffenen nahezu ins Leere laufen lassen, da die eigentliche Verarbeitung der Daten durch Unternehmen wie Microsoft oder Google nicht berücksichtigt würde. Eine solche Vorgehensweise kann nicht im Interesse des Gesetzgebers sein, der dem Betroffenen eine umfassende Auskunft ermöglichen möchte. Das Auskunftsrecht ist ein Recht des Betroffenen und das Interesse der Verantwortlichen an der Praktikabilität kann diesem nicht übergeordnet sein. Eine weite Auslegung des Empfängerbegriffs innerhalb eines Konzerns ist auch erforderlich, um zu verhindern, dass das Auskunftsrecht durch die bloße Hinzufügung einer Servicegesellschaft ausgehebelt wird.
Fazit
Zusammenfassend kann man sagen, dass nach der Auslegung des Gesetzes und des EuGH-Urteils ein Auftragsverarbeiter als Empfänger im Sinne des Datenschutzrechts gilt und somit auch dessen Dienstleister bzw. Subunternehmer angegeben werden müssen. Allerdings müssen bei Übermittlungen an andere Verantwortliche nur diese genannt werden. Diese weite Auslegung bedeutet für Verantwortliche einen erheblichen Mehraufwand in der Praxis, da Prozesse eventuell neu ausgerollt werden müssen. Eine mögliche Lösung wäre, bereits bei der Dokumentation der Verarbeitungstätigkeit im Verzeichnis von Verarbeitungstätigkeiten auch die Dienstleister der Auftragsverarbeiter zu nennen bzw. auf die entsprechenden Vertragsdokumente und Anlagen zu verweisen. Dadurch kann die Bearbeitung von Auskunftsbegehren erleichtert werden.
3. April 2023
Manchmal kommt es auch Jahre nach der Einführung der DSGVO immer noch vor, dass Dienstleister, die personenbezogene Daten verarbeiten sollen, nicht auf Anfragen zum Abschluss, zur Überarbeitung oder zur Aktualisierung eines Auftragsverarbeitungsvertrags reagieren. Dies stellt Datenschutzbeauftragte vor Herausforderungen, da die Verarbeitung personenbezogener Daten durch einen Auftragsverarbeiter nur auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments erfolgen darf, der den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet. Wenn der Dienstleister jedoch nicht bereit ist, eine solche Vereinbarung abzuschließen, fragt sich, welche Optionen der Verantwortliche hat.
Es ist wichtig zu betonen, dass es im Interesse des Dienstleisters oder Auftragnehmers liegt, einen Vertrag zur Auftragsverarbeitung abzuschließen. Wenn die Verarbeitung personenbezogener Daten ohne Vertrag durchgeführt wird, verstoßen beide Parteien gegen ihre Pflichten aus der DSGVO. Dies kann zu Bußgeldern führen. Wenn eine Anfrage zum Abschluss eines Vertrags unbeantwortet bleibt, sollten Verantwortliche darauf hinweisen, dass dies ein rechtliches Erfordernis ist und eine Vereinbarung zum Vorteil aller Beteiligten ist.
Der Fall Kolibri Images
Empfehlenswert und notwendig ist es, den Datenschutzbeauftragten bei der Angelegenheit einzubeziehen. Außerdem ist es sinnvoll, dem Dienstleister einen Vertragsentwurf zur Überprüfung vorzulegen. Ein Beispiel für die Bedeutung eines solchen Vertrags ist der Fall des Unternehmens Kolibri Images, gegen das 2018 von der Datenschutzaufsichtsbehörde in Hamburg ein Bußgeld verhängt wurde. Das Unternehmen hatte einen spanischen Dienstleister ohne entsprechenden Auftragsverarbeitungsvertrag eingesetzt, und obwohl Kolibri Images den Dienstleister mehrfach zur Übermittlung eines Vertragsentwurfs aufgefordert hatte, verweigerte dieser dies. Kolibri Images weigerte sich schließlich auch, einen eigenen Entwurf zu erstellen, was zur Verhängung des Bußgeldes führte.
Obwohl die Aufsichtsbehörden später den Bußgeldbescheid zurücknahmen, zeigt der Fall doch, dass sie von Verantwortlichen den Abschluss von Auftragsverarbeitungsverträgen fordern. Allerdings können Dienstleister nicht einfach “gezwungen” werden, einen solchen Vertrag abzuschließen, auch wenn sie gute Argumente haben. Wenn eine Erklärung der datenschutzrechtlichen Situation und die proaktive Zusendung eines Vertragsentwurfs keine Wirkung zeigen, sollten Verantwortliche darüber nachdenken, zu “drastischeren” Mitteln zu greifen, wie zum Beispiel einer anderweitigen Vergabe des Auftrags oder einer Kündigung, wenn der Auftragsverarbeitungsvertrag nicht innerhalb einer vorher definierten Frist abgeschlossen wird. Wenn auch das keine Wirkung zeigt, sollten Verantwortliche die Dienstleistung ohne einen Auftragsverarbeitungsvertrag nicht weiter in Anspruch nehmen, da dies gegen die Vorschriften der DSGVO verstößt und ein Bußgeldrisiko birgt.
Fazit
Wenn Verantwortliche Dienstleister auswählen, die Zugriff auf personenbezogene Daten erhalten sollen, sollten sie den Datenschutz von Anfang an berücksichtigen und die Bereitschaft zum Abschluss eines Vertrags zur Auftragsverarbeitung als Kriterium für die Beauftragung verwenden. Wenn Dienstleister bereits im Einsatz sind, ohne dass ein Vertrag besteht, sind die oben genannten Schritte die einzigen Optionen, und als letztes Mittel kann eine Trennung vom jeweiligen Dienstleister eingeleitet werden, falls dieser keine Einigung erzielen kann.
2. Januar 2023
Die dänische Aufsichtsbehörde hat am 20.5.2022 einen Fall zu der Frage, ob ein Auskunftsanspruch durch einen Auftragsverarbeiter erfüllt werden muss, entschieden.
Über den Sachverhalt
Der Betroffene hatte auf eBay einen Artikel bei dem Unternehmen Asus gekauft und im Rahmen des Kaufs seine E-Mail-Adresse angegeben. Danach erhielt er eine E-Mail von noreply.invitations@trustpilot.com, in der der Asus Online Shop als Absender angegeben war und in der er gebeten wurde, das Kauferlebnis bei Asus auf Trustpilot zu bewerten. Der Betroffene kontaktierte daraufhin Trustpilot von einer anderen E-Mail-Adresse und bat um Auskunft über eventuell verarbeitete personenbezogene Daten. Trustpilot antwortete und teilte mit, dass kein aktiver Nutzer für die E-Mail gefunden werden konnte und daher keine Daten über den Betroffenen verarbeitet wurden. Der Betroffene erhielt danach erneut eine E-Mail von Trustpilot im Namen des Asus Online Shops. Der Shop bat ihn darin, den Einkauf bei Asus zu bewerten. Der Betroffene beschwerte sich deswegen bei der bayerischen Behörde (BayLDA). Das BayLDA leitete die Beschwerde an die Berliner und diese an die dänische Aufsichtsbehörde weiter.
Die Entscheidung der Behörde
Als die für Trustpilot zuständige Datenschutzbehörde hat sie also darüber entscheiden müssen, ob Trutspilot nach Art. 15 DSGVO verpflichtet war, die Auskunft zu erteilen.
In der Begründung der dänischen Behörde geht hervor, dass allein der für die Verarbeitung Verantwortliche nach Art. 15 DSGVO zur Auskunft an den Betroffenen verpflichtet.
„Da gemäß den Artikeln 12 und 15 nicht der Auftragsverarbeiter, sondern der Verantwortliche verantwortlich ist, einen Antrag auf Auskunft zu bearbeiten und zu beantworten, ist die dänische Datenschutzbehörde der Ansicht, dass Trustpilot nicht gegen diese Bestimmungen verstoßen hat.“
Unterstützungspflicht des Auftragsverarbeiter
Jedoch ist Trustpilot nach Art. 28 Abs. 3 lit. e DSGVO verpflichtet, den Verantwortlichen bei seiner Pflicht zur Beantwortung von Anträgen auf Wahrnehmung der in Kapitel III DSGVO genannte Rechte der betroffenen Person zu unterstützen.
Außerdem hat der Betroffene im Rahmen seiner Anfrage auch seinen Namen und seine postalische Adresse angegeben hatte. Deswegen kritisierte die dänische Datenschutzbehörde, dass Trustpilot keine einheitliche Vorgehensweise bei der Suche nach relevanten Informationen, einschließlich des Namens und der Adresse, die der Betroffene im Zusammenhang mit seiner Anfrage übermittelt hat, umgesetzt hat. Trustpilot war offenbar nicht in der Lage, nach dem Namen und der Adresse zu suchen und einen Vergleich durchzuführen. Dadurch hätte Trustpilot die Möglichkeit gehabt, die betroffene Person zu identifizieren und, als Auftragsverarbeiter, den Verantwortlichen in dem vereinbarten Umfang bei der Verarbeitung zu unterstützen. Die dänische Behörde hat dies jedoch nur als Hinweis an Trustpilot gegeben und das Verfahren eingestellt.
Fazit
In der Begründung empfiehlt die Aufsichtsbehörde, dass Trustpilot zusätzliche Daten (Name und Adresse) als Auftragsverarbeiter erhalten soll, die für die eigene Leistung nicht unbedingt erforderlich sind, aber für Betroffenenanfragen relevant sein könnten. Diese Empfehlung mag aus Sicht der Erleichterung von Betroffenenanfragen zwar sinnvoll sein, doch ist der Verantwortliche (für den Trustpilot als Auftragsverarbeiter auch bei Betroffenenanfragen unterstützen muss) laut Art. 11 DSGVO nicht verpflichtet, zusätzliche personenbezogene Daten zu verarbeiten, nur um Betroffenenrechte zu erfüllen. Zu beachten ist, dass die erforderlichen Daten (Name und Adresse) bereits beim Verantwortlichen vorliegen. Eine mögliche Alternative könnte sein, dass Trustpilot die Anfrage des Betroffenen (inklusive der unbekannten E-Mail-Adresse) direkt an den Verantwortlichen weiterleitet.
10. Juni 2022
Am 04. Juni letzten Jahres hat die EU-Kommission neue Standardvertragsklauseln für Drittlands-Übermittlungen und zur Auftragsverarbeitung beschlossen. Durch die Neuerungen sollte das Datenschutzniveau des Schrems-II-Urteils und der Europäischen Datenschutzgrundverordnung (DSGVO) sichergestellt werden.
Nun, knapp ein Jahr später, hat die EU-Kommission einen Frage-Antwort-Katalog zu diesen Standardvertragsklauseln veröffentlicht. Dieser wurde auf Basis von Rückmeldungen erstellt und soll die praktische Anwendung der Klauseln erleichtern.
Der Katalog enthält insgesamt 44 Fragen und Antworten zu verschiedenen Unterkategorien, wie z.B. Betroffenenrechte und Änderungen der involvierten Parteien. Der Katalog beantwortet dabei auch grundsätzliche Fragen wie: “Welche Vorteile haben die Standardvertragsklauseln?” und “Kann der Text der Standardvertragsklauseln geändert werden?”. Für einige Fragen werden auch Beispiele angeführt, sodass Sachverhalte anschaulicher werden. Insgesamt ist der Katalog nicht nur für Datenschutzexperten, sondern auch für interessierte Laien gedacht.
Zum jetzigen Zeitpunkt ist der Katalog nur auf Englisch einsehbar. Der Katalog soll dynamisch bleiben und stets um Fragen und Antworten ergänzt werden.
8. Januar 2020
Steuerberater sind keine Auftragsverarbeiter. Das hat der deutsche Gesetzgeber mit der Neufassung des § 11 Steuerberatungsgesetz (StBerG) klargestellt, die am 18. Dezember 2019 in Kraft getreten ist.
Mit § 11 Abs. 1 StBerG hat der Gesetzgeber eine Rechtsgrundlage für Datenverarbeitungen durch Steuerberater geschaffen, insbesondere auch für besondere Kategorien personenbezogener Daten ihrer Mandanten, wie Gesundheitsdaten. Nach Abs. 2 der Norm erfolgt die Verarbeitung durch Steuerberater unter Beachtung der Berufspflichten weisungsfrei. Zudem sind sie bei der Verarbeitung sämtlicher personenbezogener Daten Verantwortliche nach der Datenschutzgrundverordnung – und damit keine Auftragsverarbeiter.
Zuvor haben das einige Landesdatenschutzbeauftragte in bestimmten Konstellationen anders gesehen (so der LfDI NRW und der LfDI Baden-Württemberg). Wie in einem früheren Blogbeitrag erläutert, hing die Frage, ob die Tätigkeit eines Steuerberaters eine Auftragsverarbeitung ist, entscheidend von der Art der Tätigkeit ab, die er für seinen Mandanten ausführte. Lohn- und Gehaltsabrechnung wurden aufgrund der Weisungsgebundenheit des Steuerberaters der Auftragsverarbeitung zugeordnet.
Mit der Neufassung des § 11 StBerG können Tätigkeiten wie die Lohnbuchhaltung nicht mehr als Auftragsverarbeitung behandelt werden, wie auch der Gesetzgeber in der Gesetzesbegründung ausdrücklich klarstellt (BT-Drs. 19/14909, S. 58). Die Neuregelung soll dazu dienen die notwendige Rechtssicherheit für alle Beteiligten zu schaffen und so die ordnungsgemäße steuerliche Beratung zu gewährleisten. Sie beseitigt die aus den unterschiedlichen Ansichten der Aufsichtsbehörden entstandenen Rechtsunsicherheiten.
Steuerberater müssen damit die Pflichten einhalten, denen Verantwortliche im Falle von Verarbeitungen personenbezogener Daten nachzukommen haben, wie etwa Informations- oder Meldepflichten.
30. Oktober 2019
Ob die Tätigkeit eines Steuerberaters eine Auftragsverarbeitung darstellt, hängt entscheidend von der Art der Tätigkeit ab, die er für seinen Mandanten ausführt.
Der Steuerberater ist grundsätzlich bei seiner klassischen Tätigkeit, die in den Anwendungsbereich des § 32 Abs. 2 StBerG fällt, weisungsfrei. Da für eine Auftragsverarbeitung die Weisungsgebundenheit des Auftragsverarbeiters zwingende Voraussetzung ist, ist eine solche Tätigkeit des Steuerberaters keine Auftragsverarbeitung.
Erledigt der Steuerberater aber Tätigkeiten für seinen Mandanten, die keine Entscheidungskompetenz des Steuerberaters erfordern, wie bspw. die Lohn- und Gehaltsabrechnung, liegt eine Auftragsverarbeitung vor.
Sofern es sich bei der Tätigkeit des Steuerberaters um eine Mischtätigkeit handelt, eine Tätigkeit also, die sowohl weisungsfreie als auch weisungsgebundene Elemente enthält, ist für die weisungsgebundenen Teile ein Vertrag über eine Auftragsverarbeitung abzuschließen.
Weitere Informationen finden sich auf der Internetseite des LfDI NRW.
22. März 2019
Die Durchführungsverordnung zum KDG (KDG-DVO) wurde durch die Vollversammlung des Verbandes der Diözesen Deutschlands beschlossen. Diese ist am 01.03.2019 in Kraft getreten und löst die „alte“ Durchführungsverordnung zur KDO (KDO-DVO) ab. In der neuen KDG-DVO finden sich Inhalte, welche bereits in der KDO-DVO enthalten waren, aber auch solche, die neu sind. Insbesondere enthält die Durchführungsverordnung genaue Vorgaben hinsichtlich der Auftragsvereinbarung. Danach ist mit Auftragsverarbeiter, die nicht den Regelungen des KDG unterfallen, neben der Anwendung der EU-Datenschutzgrundverordnung die Anwendung des KDG zu vereinbaren.
In der Praxis handelt es sich hierbei um eine schwer
umsetzbare Vereinbarung, insbesondere vor dem Hintergrund, dass ein
privatwirtschaftliches Unternehmen strengere Regelungen schwer befürworten
würde.
Das katholische Datenschutzzentrum vertritt diesbezüglich allerdings eine klare Linie: Auftragsverarbeitungsverträge sind grundsätzlich unter Einbeziehung des KDG abzuschließen. Im Vordergrund steht die Einhaltung der technischen und organisatorischen Maßnahmen. Bereits im § 29 Abs. 4 lit. c) KDG wurde die vertragliche Verpflichtung des Auftragnehmers betont, alle nach § 26 KDG erforderlichen technischen und organisatorischen Maßnahmen zu ergreifen. Auch in der Konferenz der Diözesandatenschutzbeauftragen wurden vermehrt Anfragen gestellt, wie u.a. die im § 31 Abs. 2 KDG aufgestellte Anforderung zur vertraglichen Verpflichtung des Auftragsverarbeiters auf das KDG zu verstehen und umzusetzen sei. Die Konferenz hatte sich mit der Fragestellung in der Sitzung vom 17. und 18. April 2018 befasst und folgenden Beschluss verfasst: Bei Abschluss von Verträgen kirchlicher Dienststellen mit externen Unternehmen soll eine Bezugnahme auf das aktuelle KDG in den Vertragstext aufgenommen werden, um § 31 KDG zu erfüllen.
Der inhaltliche Schwerpunkt der Vereinbarung liegt sicherlich
bei der Gestaltung der technischen und organisatorischen Maßnahmen sowie bei
der Umsetzung der Verzeichnisse von Verarbeitungstätigkeiten. Der
Auftragsverarbeitungsvertrag muss demnach den Anforderungen des § 29 KDG
genügen. Eine sorgfältige Auswahl des Auftragsverarbeiters wird weiterhin
vorausgesetzt.
11. März 2019
Der Hessische Datenschutzbeauftragte hat Antworten zu den am häufigsten gestellten Fragen zur Datenschutz-Grundverordnung (DSGVO) auf seiner Webseite veröffentlicht und sich darin zu einigen kontrovers diskutierten Themen positioniert. Auch wenn dort sicherlich nicht jede offene Frage beantwortet werden kann, ist das FAQ insbesondere für Unternehmen mit Hauptsitz in Hessen lesenswert.
Interessant ist etwa die Aussage zur Frage, wann eine Auftragsverarbeitung vorliegt. Hier scheint sich die hessische Behörde der bereits vom Bayerische Landesamt für Datenschutzaufsicht veröffentlichten Ansicht anzunähern. Der Anwendungsbereich der Auftragsverarbeitung ist demnach recht eng auszulegen, nämlich nur auf Fälle, in denen ein Dritter tatsächlich mit der Verarbeitung von Daten beauftragt wird:
„Wenn Sie hingegen andere Dienstleistungen Dritter in Anspruch nehmen, bei denen die Weitergabe von Daten zwar erforderlich aber nicht Inhalt der Dienstleistung selbst ist, liegt in der Regel kein Auftragsverarbeitungsverhältnis vor (z.B. handwerkliche Tätigkeiten).“
Interessant ist auch die Aussage der Behörde zu der Frage, ob eine Einwilligung nach Art. 6 Abs. 1 S.1 lit. a) DSGVO vorsorglich eingeholt werden darf, wenn sich der Verantwortliche hinsichtlich des Vorliegens eines anderen Erlaubnistatbestandes unsicher ist:
„Häufig kann es aber schwierig sein, die gesetzliche Grundlage für die Datenverarbeitung zweifelsfrei zu bestimmen oder deren Grenzen klar zu erfassen. In diesen Fällen ist es vor allem auf Grund der Sicherheit und Transparenz sowohl für verantwortliche Stellen als auch für betroffene Personen nicht schädlich, wenn vorsorglich eine Einwilligung eingeholt wird.“
22. Januar 2019
Das kleine Versandunternehmen Kolibri Image wurde von der Hamburger Datenschutzbehörde aufgefordert, ein Bußgeld in Höhe von 5000 Euro zuzüglich 250 Euro Gebühren zu zahlen. Grund hierfür war nach Art. 83 Abs. 4 lit. a Datenschutzgrundverordnung (DSGVO) das Fehlen eines Auftragsverarbeitungsvertrags mit einem spanischen Dienstleister des Versandunternehmens.
Ausgangspunkt für das Bußgeld war, dass Kolibri Image sich im Mai 2018 an den Hessischen Datenschutzbeauftragten gewandt hatte, weil der spanische Dienstleister trotz mehrfacher Aufforderung keinen Vertrag zur Auftragsverarbeitung übersandt hatte. Die Behörde erwiderte, dass die Pflicht zum Abschluss eines Auftragsverarbeitungsvertrages sowohl den Verarbeiter als auch den Verantwortlichen treffe. Das Unternehmen solle und müsse deshalb selbst eine entsprechende Vereinbarung verfassen und an den Auftragsverarbeiter zwecks Unterschrift übermitteln.
Als Kolibri Image daraufhin antwortete, dass man sich diese Arbeit, insbesondere wegen der teuren Übersetzung, nicht machen wolle, gab die hessische Behörde die Sache an die zuständigen Kollegen aus Hamburg ab. Der Hamburger Datenschutzbeauftragte sieht in dem Verhalten des Unternehmens einen Verstoß gegen Art. 28 Abs. 3 DSGVO und hatte deswegen die Geldbuße verhangen. Nach Ansicht der Behörde wurden schützenswerte Daten ohne Rechtsgrundlage an den Dienstleister übermittelt. Erschwerend wirke sich aus, dass man diese Praxis aufrechterhalten habe, obwohl dem Unternehmen die Datenverarbeitungsprozesse des Verarbeiters explizit nicht bekannt waren. Schließlich fehle es auch an einer Zusammenarbeit mit der Behörde, die sich strafmildernd auswirken könne.
Kolibri Image kündigte bereits an, gegen den Bescheid einen Widerspruch einzulegen. Zu Recht?
Zwar liegt der Bußgeldbescheid, und somit der genaue Sachverhalt, hier nicht vor, es drängen sich jedoch, insbesondere wegen der Diskussionen im Internet über diesen Fall, zwei Fragen auf.
Zum einen scheint die Frage, ob hier überhaupt ein Auftragsverarbeitungsverhältnis vorliegt, noch klärungsbedürftig, da dies von der Behörde bevor der Bescheid erlassen wurde gar nicht geprüft worden sei.
Darüber hinaus stellt sich die Frage, wann die Grenze zur Selbstbelastungsfreiheit überschritten ist. Das Unternehmen hat im vorliegenden Fall mit seiner initativen Anfrage bei der Datenschutzbehörde den Stein selbst ins Rollen gebracht. Sofern der Verantwortliche sich bezüglich seiner gesetzlichen Meldepflichten nicht ganz sicher ist, sollte er sich also stets datenschutzrechtlichen Rat einholen, bevor er sich an die Behörde wendet.
12. November 2018
Personenbezogenen Daten dürfen vom Verantwortlichen oder Auftragsverarbeiter nur an ein Drittland übermittelt werden, wenn
-ein Angemessenheitsbeschluss der Kommission für dieses Drittland vorliegt oder
-geeignete Garantien vorliegen
Solche Garantien können sein:
-verbindliche interne Datenschutzvorschriften gemäß Art. 47 DSGVO
-Standarddatenschutzklauseln die von der Kommission nach Art. 93 Abs. 2 DSGVO erlassen oder genehmigt wurden
-genehmigte Verhaltensregeln gemäß Art. 40 DSGVO
-genehmigte Zertifizierung gemäß Art. 42 DSGVO
-genehmigte Vertragsklauseln gemäß Art. 46 Abs. 3 lit. a DSGVO
Seit Einführung der DSGVO hat die Kommission keine Standarddatenschutzklauseln erlassen. Die bisher gültigen Standarddatenschutzklauseln behalten aber gemäß Art. 46 Abs. 5 S. 2 DSGVO bis auf Weiteres ihre Gültigkeit.
Es gibt Standardvertragsklauseln für die Übermittlung von personenbezogenen Daten an einen Verantwortlichen außerhalb der EU / EWR und es gibt Standardvertragsklauseln für die Übermittlung von personenbezogenen Daten an einen Auftragsverarbeiter außerhalb der EU / EWR. Diese sind unter folgendem Link abrufbar:
https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en
Werden diese Standarddatenschutzklauseln unverändert verwendet, ist eine Übermittlung der personenbezogenen Daten ohne vorherige Genehmigung durch eine Aufsichtsbehörde zulässig.
