AEPD-Busse-gegen-Auftragsbearbeiter-wegen-Verweigerung-der-Datenherausgabe

Spanische Datenschutzbehörde: Auftragsverarbeiter wird wegen Verweigerung der Datenrückgabe sanktioniert


Ihr Kontakt

Die spanische Datenschutzbehörde (AEPD) büsste im August 2021 einen Auftragsverarbeiter, weil dieser nach Abschluss des Dienstleistungsvertrags nicht alle personenbezogenen Daten an den Verantwortlichen zurückgegeben hatte. Für diesen Verstoss gegen die Vorgaben der EU-Datenschutzgrundverordnung (DSGVO) sanktionierte die AEPD den Auftragsverarbeiter mit einer Busse in der Höhe von 100’000 EUR. Der Fall führt vor Augen, wie weit die Pflichten im Rahmen von Auftragsverarbeitungsvereinbarungen (AVV) gehen können und dass bei deren Nichteinhaltung empfindliche Bussen drohen.

Pflicht zur Löschung oder Rückgabe aller Daten nach Vertragsabschluss

Jedes Verarbeiten von personenbezogenen Daten durch einen Auftragsverarbeiter muss nach der DSGVO durch einen schriftlichen Vertrag gedeckt sein (vgl. Art. 28 Abs. 3 DSGVO). Dabei können Verantwortliche und Auftragsverarbeiter grundsätzlich ihren eigenen Vertrag aushandeln, dieser muss jedoch bestimmten, in der DSGVO festgelegten, Mindestanforderungen genügen (vgl. dazu MLL News vom 16.02.2022). Zu den Inhalten, welche ein entsprechender Vertrag aufzugreifen hat, gehört unter anderem, dass der Auftragsverarbeiter nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten entweder löschen oder zurückgeben muss, soweit keine Aufbewahrungspflichten der EU-Mitgliedstaaten bestehen.

Verweigerung der Datenrückgabe führt zu einer Busse in der Höhe von 100’000 EUR

Veranschaulicht wird diese Pflicht zur Datenrückgabe sowie die Folgen für den Auftragsverarbeiter im Falle eines Verstosses durch den Entscheid der spanischen Datenschutzbehörde (AEPD) vom 17. August 2021 (PS/00315/2020). Anlass für den Entscheid war eine auf folgendem Sachverhalt beruhende Beschwerde durch den Verantwortlichen: Ein Unternehmen aus dem Tourismus- und Hoteldienstleistungssektor (Verantwortlicher) hatte einen Anbieter, der auf Software- und Computerdienstleistungen spezialisiert ist (nachfolgend: Auftragsverarbeiter), mit der Verwaltung seiner Daten und Server betraut. Die zwischen den Parteien abgeschlossene Auftragsverarbeitungsvereinbarung sah vor, dass der Auftragsverarbeiter nach Beendigung der Geschäftsbeziehungen alle Daten, die dieser von der Verantwortlichen erhalten bzw. für die Verantwortliche verarbeitet hatte, an Letztere zurückzugeben hat.

Im Rahmen einer Reorganisation kündigte die Verantwortliche den Dienstleistungsvertrag und wies den Auftragsverarbeiter an, die entsprechenden Daten umgehend zurückzugeben. Trotz mehrmaliger Aufforderung verweigerte der Auftragsverarbeiter in der Folge die Rückgabe der Daten, mitunter mit der Begründung, die Verantwortliche habe noch ausstehende Rechnungsbeträge für vom Auftragsverarbeiter erbrachte Leistungen. Im weiteren Verfahrensstadium berief sich der Auftragsverarbeiter zudem auf organisatorische Probleme, welche eine Datenrückgabe verzögert hätten. Durch die Verweigerung des Auftragsverarbeiters die Daten zurückzugeben, war es dem Datenverantwortlichen unmöglich, auf seine Server bzw. seine Daten zuzugreifen, was nach Angaben des Auftraggebers zu enormen finanziellen Schäden führte.

Die AEPD hat in ihrem Entscheid diesbezüglich festgehalten, dass in der Verweigerung der Datenrückgabe durch den Auftragsverarbeiter ein Verstoss gegen Artikel 28 Absatz 3 Buchstabe g DSGVO zu sehen ist und hat dem Auftragsverarbeiter wegen Nichteinhaltung dieser Verpflichtung eine Busse in der Höhe von 100’000 EUR auferlegt.

Ausserdem äusserte sich die AEPD in ihrem Entscheid zu weiteren Punkten bezüglich dem Rollenverhältnis zwischen dem Verantwortlichen und dem Auftragsverarbeiter, insbesondere zum Auskunfts- und Weisungsrecht des Verantwortlichen gegenüber dem Auftragsverarbeiter. So hielt die AEPD fest, dass dem Verantwortlichen kein Auskunftsrecht zukomme, da es sich hierbei um ein persönliches Recht der betroffenen Person handelt, und dass der Verantwortliche den Auftragsverarbeiter nur dazu verpflichten kann, seinen gesetzlichen Verpflichtungen nachzukommen.

Die AEPD ergänzte weiter, dass der Verantwortliche dem Auftragsverarbeiter keine direkten und spezifischen Anweisungen für die Verarbeitung der Daten erteilen könne, da der Auftragsverarbeiter im Auftrag des Datenverantwortlichen, aber nicht unter dessen direkter Kontrolle handle. Der Auftragsverarbeiter geniesse immer noch ein gewisses Mass an Autonomie darüber, wie er die Daten verarbeitet, um seinen Verpflichtungen und den Interessen des Verantwortlichen gerecht zu werden.

Einordnung des Falls und Anmerkungen

Der Entscheid veranschaulicht, was in einer Auftragsverarbeitungsvereinbarung festgehalten werden sollte bzw. muss und welche Verpflichtungen dem Auftragsverarbeiter in Bezug auf die Datenrückgabe nach Beendigung treffen. Insbesondere wurde in Bezug auf die Rückgabe der Daten ein Leistungsverweigerungsrecht seitens des Auftragsverarbeiters verneint. Personenbezogene Daten dürfen also nicht bloss deshalb zurückbehalten werden, weil der Auftraggeber seine Rechnungen noch nicht bezahlt hat.

Dieses Fazit ist für Schweizer Unternehmen indes nicht nur dann relevant, wenn sie in den Anwendungsbereich der DSGVO fallen (vgl. MLL News vom 19.12.2019). Im Gegensatz zu Bestimmungen der DSGVO bestehen unter dem geltenden Schweizer Datenschutzgesetz (DSG), als auch unter der revidierten Fassung, welche ab dem 1. September 2023 in Kraft treten wird (vgl. MLL-News vom 10.03.2022), keine ausdrücklichen Mindestinhalte eines Auftragsverarbeitungsvertrages, insbesondere auch nicht in Bezug auf die Löschung oder Rückgabe von Daten nach Beendigung des Vertrags. Damit aber nach Schweizer Recht überhaupt ein Auftragsverarbeitungsverhältnis vorliegen kann, müssen gleichwohl zahlreiche vertragliche Vorgaben gemacht werden, namentlich Weisungs- und Kontrollrechte vorgesehen werden. Inwieweit aber welche konkreten Vorgaben in einem Vertrag enthalten sein müssen, ist nicht restlos klar. Bei dieser Beurteilung liegt es nahe, sich an den Pflichtinhalten der DSGVO zu orientieren. Dies gilt umso mehr, weil bei der Nichteinhaltung der Vorgaben zur Auftragsverarbeitung mit der Revision des DSG, ab dem 1. September 2023, strafrechtliche Sanktionen drohen (vgl. dazu MLL-News vom 10.03.2022 und MLL-News vom 19.10.2020).

Vor diesem Hintergrund ist es denn auch nachvollziehbar, dass viele Schweizer Unternehmen ihre AVV standardmässig im Einklang mit den Vorgaben der DSGVO ausgestalten. Die blosse Orientierung an den Vorgaben des Schweizer Rechts ist aber auch praktisch meist wenig sinnvoll, weil bei einer Zusammenarbeit mit Verantwortlichen aus dem EU-Raum ohnehin (auch) die Anforderungen der DSGVO zu berücksichtigen sind. Denn Verantwortliche im Anwendungsbereich der DSGVO sind verpflichtet, vertraglich sicherzustellen, dass ihre Auftragsverarbeiter die Datenverarbeitung in Übereinstimmung mit den Vorgaben der DSGVO vornehmen. Insofern sind auch Schweizer Unternehmen gut beraten, sich mit den Pflichtinhalten der DSGVO auseinanderzusetzen.

Weitere Informationen:


Artikel teilen



meistgelesen


Highlights

MLL Legal

MLL Legal ist eine der führenden Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug, Lausanne, London und Madrid. Wir beraten unsere Klienten in allen Bereichen des Wirtschaftsrechts und zeichnen uns insbesondere durch unsere erstklassige Branchenexpertise in technisch-innovativen Spezialgebieten, aber auch in regulierten Branchen aus.

MLL Legal

Newsletter

MLL-News 03/22 mit Beiträgen zum Digital Markets Act, Digital Services Act, PBV-Revision, Abmahnungen zu Google Fonts, Inbox-Adverting und vieles mehr.

Zugang MLL-News 03/22

Jetzt anmelden!

Unsere Geschichte

MLL Legal ist eine führende Schweizer Anwaltskanzlei, deren Geschichte bis ins Jahr 1885 zurückreicht. Die Kanzlei ist sowohl organisch als auch durch strategische Fusionen gewachsen, von denen die Jüngste am 1. Juli 2021 zwischen Meyerlustenberger Lachenal und FRORIEP vollzogen wurde.

Durch diesen Zusammenschluss hat sich MLL Legal zu einer der grössten Wirtschaftskanzleien der Schweiz mit über 150 Anwältinnen und Anwälten in vier Büros in der Schweiz entwickelt. Auch zwei Büros im Ausland, in London und Madrid, bieten Anlaufstellen vor Ort für Klientinnen und Klienten, die Beratung im Schweizer Wirtschaftsrecht suchen.

Die Kanzlei verfügt heutzutage über ein starkes internationales Profil und ein langjährig aufgebautes globales Netzwerk. MLL Legal vereint anerkannte Führungsqualitäten und Fachwissen in allen Bereichen des Schweizer und internationalen Wirtschaftsrechts.

Über uns

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information

Offene Stellen

Sind Sie auf der Suche nach einer neuen Herausforderung?

Unsere talentierten und ambitionierten Teams sind von einer gemeinsamen Vision motiviert, erfolgreich zu sein. Wir schätzen eine offene und unkomplizierte Kommunikation über alle Ebenen der Organisation hinweg in einem unterstützenden Arbeitsumfeld.

Offene Stellen

Real Estate Legal Update

Hier gehts zum Real Estate Legal Update 01/24. Unser Real Estate Team hat wiederum Artikel in verschiedenen Gebieten verfasst, so dass hoffentlich für alle etwas Interessantes dabei ist. Wir wünschen viel Spass bei der Lektüre.

Registrieren Sie sich hier, um unser 2 x jährlich erscheinendes Real Estate Legal Update zu erhalten.

Unser Team

Unsere über 150 Anwältinnen und Anwälte unterstützen Sie dabei, den regulatorischen und technologischen Anforderungen im modernen globalen Wirtschaftsleben erfolgreich zu begegnen und ihre wirtschaftlichen Chancen zu nutzen.

Unser Team

Revision DSG

Auf unserer Themenseite rund um die Revision des Schweizerischen Datenschutzgesetzes finden Sie regelmässig aktualisierte und umfassende Informationen und Hilfsmittel. Es ist uns ein Anliegen, Sie bei der Implementierung der neuen Vorgaben zu unterstützen.

Revision DSG Themenseite

MLL Legal on Social Media

Folgen Sie uns auf LinkedIn.