5000-Euro-Bußgeld für Kleinunternehmen wegen Datenschutzverstoß
Der beanstandete Verstoß gegen die DSGVO war das Fehlen eines Vertrages zur Auftragsverarbeitung. Sobald personenbezogene Daten durch einen Dritten verarbeitet werden, bedarf es eines zusätzlichen Vertrags zum Datenschutz. Dieser solle Informationen zu den Datenverarbeitungsprozessen, sowie den Beteiligten und Verantwortlichen enthalten. Die Pflicht, einen solchen Vertrag abzuschließen treffe dabei nicht nur den Verarbeiter, sondern auch den Auftraggeber. Dieser sei der Verantwortliche für den Datenschutz. Ein Bußgeld rechtfertige sich deshalb, weil die Übermittlung von schutzwürdigen Daten ohne Rechtsgrundlage erfolgt sei.
Im konkreten Fall geht es um ein Versandgeschäft, das sich bei Express-Zustellungen über DHL eines externen Versandunternehmens bediente. Das Versandunternehmen bekam hierzu die Lieferadressen der Kunden, um den Versandauftrag durchzuführen. Ein entsprechender Auftragsverarbeitungsvertrag wurde zwischen den Unternehmen nicht abgeschlossen.
Dem Bußgeldbescheid hat das Kleinunternehmen mittlerweile widersprochen und außerdem das Vorgehen der Datenschutzbehörde stark kritisiert. Daneben forderte die Firma eine Entschärfung der Durchsetzungspraxis zur DSGVO für kleinere Unternehmen, da diese fast den gleichen Aufwand haben wie mittelständische Unternehmen. Dies sei schlichtweg nicht verhältnismäßig.