Fehlender Auftragsverarbeitungsvertrag kostet 5.000,00 Euro Bußgeld

In Hamburg gab es wegen eines fehlenden AV-Vertrages ein Bußgeld von 5.000,00 Euro. Das betroffene Unternehmen „Kolibri Image“ hatte die hessischen Aufsichtsbehörde selbst darauf aufmerksam gemacht und nachgefragt. Die wiederum leitete die Sache an die zuständige Behörde in Hamburg weiter.
Hintergrund: Das Unternehmen weigerte sich, einen Auftragsverarbeitungsvertrag mit einem spanischen Anbieter im Bereich der Vermittlung von Postdienstleistungen zu schließen. Als Grund wurde ausgeführt, dass man die Prozesse des Dienstleisters nicht kenne und eine Übersetzung zu teuer wäre. Die hessische Aufsichtsbehörde hatte dagegen darauf hingewiesen, dass für beide Parteien die Pflicht besteht, eine solche Vereinbarung abzuschließen.
Mehr Infos unter: https://www.heise.de/newsticker/meldung/DSGVO-5000-Euro-Bussgeld-fuer-fehlenden-Auftragsverarbeitungsvertrag-4282737.html

 

No-Deal-Brexit & Datenschutz

Der bevorstehende Brexit bringt für Betroffene ein bisschen Arbeit mit sich. Aktuell kann nicht ausgeschlossen werden, dass Großbritannien ungeordnet aus der EU austritt. Ab dem 30. März 2019 könnte die Zusammenarbeit mit Auftragsverarbeitern, Subdienstleistern oder Unternehmen mit einer Niederlassungen in UK eine Übermittlung von personenbezogenen Daten in ein Drittland bedeuten. Dies würde wiederum zusätzliche Maßnahmen zur Sicherstellung des Datenschutzniveaus nach Art. 44 ff. DSGVO erfordern.
Fest steht schon jetzt, dass es in so kurzer Zeit keinen Angemessenheitsbeschluss, keine genehmigte Verhaltensregeln oder Zertifizierungen geben wird. Für Betroffene, die aus wirtschaftlichen Gründen an bisherigen Vertragspartnern festhalten wollten, heißt das insbesondere:

- Abschluss von EU-Standardvertragsklauseln mit Auftragsverarbeitern als auch anderen Verantwortlichen
- Aktualisierung der Datenschutzhinweise (Datenübermittlung in ein Drittland) und des Verarbeitungsverzeichnisses
- Prüfung, ob neue Einwilligungen eingeholt werden müssen
- Prüfung, ob Datenschutz-Folgenabschätzungen ergänzt oder sogar neue durchgeführt werden müssen.

Wenn der Deal auf Grundlage der bisherigen Vereinbarungen wider Erwarten doch noch gelingt, dann würde die DSGVO für eine Übergangszeit von 2 Jahren fortgelten.

Weitere Informationen gibt es von der Aufsichtsbehörde in Rehinland-Pfalz: https://www.datenschutz.rlp.de/de/aktuelles/detail/news/detail/News/brexit-drittland-ueber-nacht

 

Umsetzungshilfe zur Informationspflichten

Die Aufsichtsbehörde aus NRW hat eine „Umsetzungshilfe zur Informationspflichten“ (PDF) veröffentlicht.

 

Weitere Bußgeldmeldungen

Für Aufregung sorgte in der letzten Woche die französischen Aufsichtsbehörde CNIL mit einem Bußgeld in Höhe von 50 Millionen Euro gegen Google. Grund hierfür war ein Verstoß gegen die Informationspflichten und unwirksame Einwilligungen. Weitere Infos gibt es unter: https://www.cmshs-bloggt.de/tmc/datenschutzrecht/dsgvo-bussgeld-google-cnil-eur-50-mio/

Daneben wurde durch einen Artikel des Handelsblattes bekannt, dass es in Deutschland eine Vielzahl weiterer Bußgelder gegeben hat. Zusätzlich sind derzeit allein in Bayern 85 Verfahren in Bearbeitung. Die Rangliste der Aufsichtsbehörden nach verhängten Bußgeldern sieht nach dem Artikel im Handelsblatt so aus:

Nordrhein-Westfalen (33)
Hamburg (3)
Baden Württemberg & Berlin (jeweils 2)
Saarland (1)

Das war heut sicher kein Wohlfühl-Newsletter. Dabei habe ich extra das Bußgeld aus Portugal von 400.000,00 Euro außen vor gelassen. In einem Krankenhaus hatten zu viele Personen Zugriff auf Patientendaten. Die bisher verhängten Bußgelder sind kein Grund für Panik. Im Gegenteil zeigt sich, dass bei entsprechender Kooperationen mit den Aufsichtsbehörden ganz angemessene Entscheidungen ergehen. Im Fall von Nordrhein-Westfalen war die durchschnittliche Höhe der verhängten Bußgelder gerade einmal 500,00 Euro pro Fall.