DSGVO konkret: Pflichtmaßnahme Auftragsverarbeitungsvertrag

Gute Absicht hart bestraft?

Aufmerksam auf die deutsche Niederlassung des spanischen Mutterkonzerns wurden die Behörden durch eine Anfrage des Geschäftsführers Dirk Maass an den Hessischen Datenschutzbeauftragten im Mai 2018: Kolibri Image habe einen externen Sachverständigen mit der Sichtung beziehungsweise Verarbeitung gesammelter Kundendaten beauftragt, bisweilen jedoch keinen Auftragsverarbeitungsvertrag erhalten. Nach Ansicht der Kolibri-Gruppe sei dies Pflicht des Datenschutzbeauftragten. Die hessischen Kontrollorgane sahen dies anders und entgegneten, der Auftraggeber teile sich mit dem Auftragnehmer eine Nachweispflicht. Alsdann berieten die Behörden Maass über das weitere Vorgehen und stellten relevante Formulare zur Verfügung. Als eine Initiative aufseiten des Unternehmens ausblieb und eine Stellungnahme folgte, es handle sich bei der getätigten Anfrage lediglich um Vorsorgemaßnahmen, wurde der Fall an die zuständige Behörde in Hamburg übermittelt; die HHDSB verhängte nach erneuter Prüfung das Bußgeld gemäß DSGVO Bestimmungen. So die Stellungnahme der Datenschutzbehörde.

Folgt man den Ausführungen des Kolibri-Vorstandes, kommen jedoch Zweifel an der Verhältnismäßigkeit des Bußgeldes auf: Kolibri Image habe mit bestem Gewissen gehandelt und die Datenschutzbehörde auf Eigeninitiative kontaktiert. Die „fallbezogenen“ Auskünfte sollen sich entgegen der Aussage der HHDSB lediglich auf eine Reihe von Standardklauseln und Verweise auf allgemeine PDF-Dateien beschränkt haben. Das Problem von Kolibri Image liege zudem in der Unwissenheit, welche Daten der kooperationsunwillige Datenschutzbeauftragte zu analysieren gedenke. Hinzu käme die überdimensional bürokratisch-finanzielle Belastung. Denn Aufwand und Kosten, erneut einen IT-Anwalt zu arrangieren, eine ungewisse Zahl an Passagen der DSGVO in firmenrelevanten Bezugspunkten auszuformulieren, zu übersetzen, an den Hauptsitz in Madrid mit Bitte zur Gegenzeichnung zu schicken, und diese letztendlich den Akten beizulegen, übersteige Firmenbudget und Mitarbeiterkapazitäten.

Ende offen

Derweil steht Aussage gegen Aussage; Dirk Maass kündigte an, Widerspruch gegen das Bußgeld einzulegen. Die Beweggründe sind nachvollziehbar, sofern dessen Schilderungen der Wahrheit entsprechen. Dennoch bleibt der Vorwurf der Täuschung: Angesichts der Kontaktaufnahme mit den Behörden im Mai 2018 und der anschließenden Beschwichtigung, die Anfrage sei als vorsorgebezogene Maßnahme anzusehen, bleibt die Vermutung, dass aufseiten von Kolibri Image bewusst die Missachtung der DSGVO in Kauf genommen und im Anschluss zu verschleiern versucht wurde. Nicht zuletzt bleibt die Frage offen, weshalb die Geschäftsführung den Umweg über die hessischen Behörden wählte und nicht direkt die HHDSB kontaktierte.

Ganz gleich, wie der Fall ausgehen mag: sicdata weist erneut auf den Umfang der DSGVO, den dort hinterlegten und unschlüssig gehaltenen Formulierungen sowie den mitunter länderübergreifenden Pflichten eines Kundendaten verarbeitenden Betriebs hin. Besser: Legen Sie das Projekt Datenschutz in vertrauenswürdige Hände und sichern Sie sich für faires Geld zu allen Seiten ab. Denn die Causa Kolibri Image zeigt, wie sensibel die deutschen Behörden auf Verstöße gegen die DSGVO reagieren und zugleich ihrem Grundsatz zur Unterstützung vielmehr restriktiv als konstruktiv nachzukommen scheinen.

Autor: Jan Lauer