Immer noch sind viele Unternehmen der Auffassung, die von der DSGVO festgelegten Kriterien zur Auftragsverarbeitung seien nicht wirklich ernst zu nehmen. Entsprechend fehlt es an vielen Stellen am Abschluss eines sog. Auftragsverarbeitungsvertrages. Ein solcher ist immer dann abzuschließen, wenn ein Auftragnehmer für den Verantwortlichen nach dessen Vorgaben Daten verarbeitet. An den Auftragsverarbeitungsvertrag stellt die DSGVO in § 28 einige Anforderungen. Es genügt danach nicht, lediglich eine Vereinbarung über die Inhalte der Tätigkeit als solcher zu schließen. Vielmehr ist in dem Vertrag u.a. festzulegen, welche Schutzpflichten dem Auftragnehmer obliegen.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat nun in einem Fall ein Bußgeld in Höhe von 5.000,00 EUR festgesetzt.Dem lag folgender Sachverhalt zugrunde:
Ein Hambruger Unternehmen hatte sich geweigert, mit einem spanischen Auftragsverarbeiter einen entsprechenden Vertrag zu schließen, da der Auftragsverarbeiter keinen Vertrag zur Verfügung stellte und dem Auftraggeber die Kosten der Erstellung eines solchen Vertrages, insbes. die Übersetzungskosten, zu hoch waren. Zudem war das Hamburger Unternehmen der Ansicht, dass es sich nicht um eine Auftragsverarbeitung handelte. Die Hamburger Aufsichtsbehörde sah darin einen Verstoß und ahndete diesen mit dem o.g. Bußgeld. Das Unternehmen soll dagegen Widerspruch eingelegt haben. Es bleibt abzuwarten, wie die Sache ausgeht.
Sofern eine Auftragsverarbeitung vorliegt, ist es aber in jedem Fall so, dass grds. der Auftraggeber für den Abschluss des Vertrages zuständig bzw. verantwortlich ist. Denn er ist „Verantwortlicher“ im Sinne der DSGVO. Dass viele große Unternehmen, die Auftragsverarbeiter sind (z.B. Google, Aktenvernichter, Ableseunternehmen) eigene Verträge zur Verfügung stellen, ergibt sich daraus, dass diese Unternehmen für eine Vielzahl von Auftraggebern arbeiten und entsprechend einheitliche Verträge abschließen möchten. Keinesfalls ergibt sich daraus eine Pflicht der Auftragsverarbeiter, dem Auftraggeber/Verantwortlichen einen passenden Vertrag vorlegen zu müssen. Ich empfehle dementsprechend meinen Mandanten, bei ihren Auftragsverarbeitern nachzufragen, ob diese ein Vertragsmuster zur Verfügung stellen. Andernfalls muss der Mandant selbst den Vertrag erstellen (lassen).