Wie der Landesbeauftragte für Datenschutz aus Brandenburg in seinem Datenschutzbericht (S. 27 f.) mitteilt, hat er ein Bußgeld iHv. 50.000,- EUR wegen falscher Auskunft und fehlendem schriftlichem Auftragsdatenverarbeitungsvertrag verhängt.
Es ging bei dem Sachverhalt um ein Unternehmen, das einen Dienstleister für die Auskunftspflichten nach Art. 15 DSGVO einschaltete.
Die beauftragte Service-Firma führte die Korrespondenz unter ihrem eigenen Logo, sodass dem Verbraucher unklar war, wer der Verantwortliche der Datenverarbeitung war. Zudem wurde der erste Kontakt in englischer Sprache geführt.
Auch bestand kein schriftlicher Auftragsdatenverarbeitungsvertrag zwischen dem Unternehmen und dem Dienstleister.
All dies führte dazu, dass die Behörde aufgrund der DSGVO-Verstöße ein Bußgeld iHv. 50.000,- EUR festsetzte.
Hinsichtlich der fehlenden Schriftform erklärte die Behörde:
"Nach Artikel 28 Absatz 9 DS-GVO ist der Vertrag zur Auftragsverarbeitung schriftlich zu schließen. Die Regelung verfolgt damit Dokumentations-, Beweissicherungs- und Authentizitätssicherungszwecke. Die Schriftform soll sicherstellen, dass die Parteien, die in dem Dokument genannt sind, sich zu den eingegangenen Verpflichtungen mit dem konkreten Inhalt bekennen. Es wird insofern auf eine höhere Rechtssicherheit abgezielt.
Nach Artikel 83 Absatz 4 Buchstabe a DS-GVO wird bei einem Verstoß gegen das Gebot, einen Auftragsverarbeitungsvertrag schriftlich abzuschließen, eine Geldbuße von bis zu 10 Millionen Euro oder im Falle eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem welcher der Beträge höher ist. Das Unternehmen führte diesen Verstoß fahrlässig herbei."
Und bzgl. der Einschaltung eines Subunternehmers bei der Auskunftserteilung merkte das Amt an:
"Das Unternehmen hat dadurch, dass es die Antragstellerinnen und Antragsteller nicht darüber aufklärte, dass es sich bei dem eingesetzten Dienstleister um einen Auftragsverarbeiter handelte und dass, trotz Erteilung der Auskunft unter dem Logo des Dienstleisters, das Unternehmen selbst für die Datenverarbeitung verantwortlich blieb, gegen den in Artikel 12 DS-GVO niedergelegten Transparenzgrundsatz verstoßen.
Die Regelung soll sicherstellen, dass die Datenverarbeitung der personenbezogenen Daten des Betroffenen, etwaige Risiken, Garantien und Betroffenenrechte sowie die Aufklärung des Betroffenen, wie er bestehende Rechte geltend machen kann, für den Betroffenen verständlich dargestellt werden. Nur wenn dies geschieht, kann dem Grundsatz der Datenhoheit jeder einzelnen Person Rechnung getragen werden. Auskunftserteilung nur in verständlicher Form.
Gleichzeitig hat das Unternehmen dadurch, dass es die Antragstellerinnen und Antragsteller zunächst in englischer Sprache kontaktierte, gegen den in Art. 12 DS-GVO niedergelegten Grundsatz der Verständlichkeit verstoßen. Wenn sich ein Unternehmen mit seinem Angebot an den deutschsprachigen Markt richtet, muss die Auskunftserteilung (zumindest auch) auf Deutsch erfolgen."