Nachdem der baden-württembergische Landesbeauftragte für Datenschutz und Informationsfreiheit im ausgehenden vergangenen Jahr ein beachtliches Bußgeld in Höhe von 20.000 Euro gegen einen Social Media Anbieter verhängte (wir berichteten), sorgt nun auch das Bekanntwerden eines von der Hamburger Datenschutzbehörde gegen das Beratungsunternehmen Kolibri Image erhobenes Bußgeld für gesteigerte Aufmerksamkeit.

Dem Bußgeldbescheid vom 17.12.2018 über 5.000 Euro liegt laut Heise Online der folgende Sachverhalt zugrunde:

Das Hamburger Beratungsunternehmen Kolibri Image leitet seine Kundendaten an einen mit der Verarbeitung dieser Daten beauftragten Dienstleister, ein in Spanien ansässiges Versandunternehmen, weiter. Eine Vereinbarung i.S.d. Art. 28 Abs. 3DSGVO über die konkrete Ausgestaltung der Verarbeitung war vorab nicht getroffen worden. Anzumerken ist hierbei, dass der genaue Umfang der verarbeitenden Tätigkeit des Dienstleisters für die Kolibri Image nicht bekannt ist. Eine zweifelsfreie Feststellung zur tatsächlichen Notwendigkeit eines Auftragsverarbeitungsvertrags gemäß Art. 28 III DSGVO ist diesseits momentan nicht möglich. Seit jeher, nicht erst mit der DSGVO bestehen Abgrenzungsschwierigkeiten zwischen der Auftragsverarbeitung gegenüber anderer Konstellationen, beispielsweise bei der Eigenverantwortlichkeit des beauftragten Dienstleisters oder aber auch einer gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO. Ebenso scheint sich eine gewisse Tendenz zu entwickeln, dass die Auftragsverarbeitung nur dann anzunehmen ist, wenn gerade schwerpunktmäßig nach objektiven Kriterien die Verarbeitung der personenbezogenen Daten Gegenstand der Dienstleistung ist.

Zwar forderte Kolibri Image den Dienstleister wiederholt auf, Ihr einen solchen Auftragsverarbeitungsvertrag zuzusenden, das spanische Versandunternehmen reagierte darauf jedoch offenbar nicht. Dies veranlasste Kolibri Image im Mai 2018 dazu, beim Hessischen Beauftragten für Datenschutz anzufragen, wie mit dieser Situation umzugehen sei. Die Ratsuchende wurde von der Behörde dahingehend belehrt, dass die vorgenannte Regelungspflicht den Dienstleister und den Auftraggeber als datenschutzrechtlichen Verantwortlichen gleichermaßen treffe. Somit müsse, wenn der spanische Auftragsverarbeiter der Aufforderung wie vorliegend nicht nachkomme, die Verantwortliche Ihrerseits eine entsprechende Vereinbarung zur Unterschrift an den Dienstleister versenden und verwies sie auf entsprechende Muster-Vorlagen auf der behördlichen Website.

Salopp formuliert lässt sich die mit der Auskunft verbundene Weisung der hessischen Behörde wie folgt zusammenfassen: Dem Art. 28 Abs. 3 DSGVO ist es letztlich einerlei, ob der Prophet zum Berg kommt oder umgekehrt – letztlich muss aber einer von beiden den anderen zum Abschluss einer den Voraussetzungen der vorgenannten Norm genügenden Auftragsverarbeitungsvereinbarung bewegen.

Dies ist folgerichtig Ausfluss der Fortentwicklung zur beidseitigen Verantwortlichkeit der Vertragspartner im Wege der DSGVO. Zwar normiert Art. 28 Abs. 3 diese beidseitige Verpflichtung nicht expressis verbis. Aus dem korrespondierenden Erwägungsgrund (81) einerseits („Der Verantwortliche und der Auftragsverarbeiter können entscheiden, ob sie einen individuellen Vertrag oder Standardklauseln verwenden,…“) und in Abgrenzung zu § 11 Abs. 1 BDSG a.F., der allein den Auftraggeber zum Verantwortlichen für die Einhaltung des Datenschutzes bestimmte, ergibt sich diese gewollte gleichmäßige Pflichtenverteilung jedoch zwangsläufig.

Das Unternehmen aus der Hansestadt erklärte jedoch, dass man weiterhin davon ausgehe, dass es sich um eine Pflicht des Auftragnehmers handele, die man auch aus Kostengründen für die aufwendige Übersetzung des Vertrages in die spanische Sprache nicht zu übernehmen bereit sei. Ferner habe man die Anfrage rein vorsorglich gestellt.

Nun gab die hessische Behörde den Fall anscheinend an die zuständige Stelle in Hamburg ab. Die Hamburger Behörde wertete offenbar diese ausdrückliche Weigerung der Verantwortlichen – und damit das fortdauernde Fehlen eines, nach ihrer Sachverhaltseinschätzung erforderlichen Auftragsverarbeitungsvertrags – als einen Verstoß gegen Art. 28 Abs. 3 DSGVO. Den Einwand der bloß vorsorglichen Anfrage wies sie unter Berücksichtigung des Umstands, dass der spanische Dienstleister als Verarbeiter in der Datenschutzerklärung aufgeführt worden sei, als nachträgliche Schutzbehauptung zurück.

Zwischenfazit und Ausblick

Die Entscheidung ist nicht rechtskräftig und das Einlegen von Rechtsmitteln gegen den Bescheid wurde durch die Verantwortliche bereits angekündigt. Deren Erfolgsaussichten werden maßgeblich davon abhängen, ob die Verarbeitungstätigkeiten des spanischen Dienstleisters die Voraussetzungen einer Auftragsverarbeitung erfüllen oder nicht. Zudem dürfte die Höhe des Bußgeldes auf den Prüfstand kommen, muss dieses doch anhand der Kriterien des Art 85 Abs. 2 DSGVO ermittelt werden.

Mag sich der eine schadenfroh an das alte deutsche Sprichwort, „Gehe nicht zu Deinem Fürsten, wenn Du nicht gerufen wirst!“, erinnert fühlen oder der Kolibri Image gar vorwerfen, sich aus Gründen der Kostenersparnis mit einem etwaig nicht datenschutzkonform arbeitenden Dienstleister begnügt und schließlich durch die explizite Weigerung, einen entsprechenden Vertragsentwurf aufzusetzen, eine „Majestätsbeleidigung“ billigend in Kauf genommen zu haben; andererseits wird demgegenüber mancher mittelständischer Unternehmer, der sich in einer vergleichbaren Situation wiederfindet, die sinngemäß geäußerte Enttäuschung der Verantwortlichen darüber teilen, nach einer hilfesuchenden Anfrage  an die Hessische Datenschutzbehörde mit einem pauschalen Verweis auf PDF-Vorlagen abgespeist worden zu sein. Vermittelnde Positionen dürften auch in Erwägung ziehen, dass ggf. ein unglücklicher Kommunikationsverlauf zwischen Kolibri Image und der Hessischen Datenschutzbehörde die resolute Entscheidung der Hamburger Kollegen begünstigt haben könnte.

Einigkeit besteht nach derzeitigem Kenntnisstand wohl lediglich darüber, dass Versäumnisse im Rahmen der Auftragsverarbeitung mitnichten bloße datenschutzrechtliche Kavaliersdelikte darstellen und davon auszugehen ist, dass Datenschutzbehörden diese zunehmend adäquat ahnden werden.