Die Datenschutzbehörde von Hamburg hat einen Bußgeldbescheid über 5000 € zuzüglich 250 € Bearbeitungsgebühr an ein kleines Unternehmen versandt, da es mit einem beauftragten Dienstleister der Kundendaten verarbeitet keinen Auftragsverarbeitungsvertrag abgeschlossen hat. Die Behörde sieht einen Verstoß gegen Art 28 Abs. 3 DSGVO, nach dem bei jeder Verarbeitung von personenbezogenen Daten durch einen Dritten ein zusätzlicher Vertrag zum Datenschutz geschlossen werden muss. Dieser muss unter anderem Angaben zu den technischen und organisatorischen Maßnahmen zum Schutz der Daten enthalten.
Nach Ansicht der Behörde wurden schützenswerte Daten ohne Rechtsgrundlage an den Dienstleister übermittelt obwohl dem Unternehmen die Datenverarbeitungsprozesse des Verarbeiters explizit nicht bekannt waren. Das Unternehmen hätte zwingend von der Beauftragung des Dienstleisters absehen müssen.
Der Artikel bei heise: https://www.heise.de/newsticker/meldung/DSGVO-5000-Euro-Bussgeld-fuer-fehlenden-Auftragsverarbeitungsvertrag-4282737.html