Heise online berichtete am 20.01.2019, dass ein kleines Unternehmen 5.000 EUR Bußgeld zahlen muss, weil es mit der von ihm beauftragten Dienstleistungsfirma keinen Datenverarbeitungsvertrag geschlossen hatte. Zwar hatte es die Partnerfirma mehrfach vergeblich um einen Auftragsverarbeitungsvertrag (AVV) gebeten, jedoch keine Konsequenzen gezogen. Denn anstatt den Dienstleistungsvertrag erst gar nicht abzuschließen oder wenigstens den laufenden Vertrag daraufhin zu kündigen, wurden weiter personenbezogene Kundendaten untereinander ausgetauscht.
Ein fehlender Auftragsverarbeitungsvertrag kann Geld kosten
Das nun abgestrafte Unternehmen hätte sofort handeln müssen, als der AVV ausblieb. Ohne diese Absicherung den Dienstleister einfach weiterzubeschäftigen, war ein klarer Verstoß gegen die DSGVO. Denn die Pflicht, eine zusätzliche Vereinbarung zum Datenschutz abzuschließen, gilt nicht einseitig, sondern für beide Parteien - den Auftraggeber als datenschutzrechtlich Verantwortlichen ebenso wie den Auftragsverarbeiter.
Was tun, wenn der Auftragsverarbeiter keinen AVV liefert?
Beim Verarbeiten von personenbezogenen Daten zwischen Auftragnehmer und Auftraggeber ist ein AVV zwingend erforderlich. Dieser regelt nicht nur die Verarbeitung dieser Daten, sondern beschreibt auch die technischen und organisatorischen Maßnahmen (TOM), die zur Datensicherheit beitragen.
Man sollte grundsätzlich bei der Beauftragung von Dritten darauf achten, dass ein AVV abgeschlossen wird. Bei bestehenden Dienstleistungsverträgen ohne AVV muss diese Zusatzvereinbarung schnellstmöglich verlangt werden, falls noch nicht geschehen. Wenn der Auftragsverarbeiter sich dann weigert oder nicht reagiert, ist dies ein außerordentlicher Kündigungsgrund (§ 315 BGB - Kündigung von Dauerschuldverhältnissen aus wichtigem Grund). Da muss umgehend gehandelt werden.
Fazit
Scheinbar tun sich kleine Unternehmen immer noch schwer, einen AVV zu erstellen. Die Vielzahl der Mustervorlagen im Internet sind für manchen Unternehmer eher verwirrend als hilfreich.
Verantwortliche fragen sich: »Ist die Vorlage wirklich rechtssicher? Erfülle ich damit die Vorgaben der Datenschutz-Grundverordnung?«