Die Hamburger Datenschutzbehörde hat im Dezember 2018 ein deutsches Kleinunternehmen mit einem Bußgeldbescheid i.H.v. € 5.000,00 belegt. Dies geht jedenfalls aus einem Bericht von Heise Online vom 20.01.2019 hervor (s.u.). Grundlage hierfür war das Fehlen eines Vertrags zur Auftragsverarbeitung (AV-Vertrag) mit einem spanischen Postdienstleister. Dabei hatte sich das Unternehmen zunächst selbst durch eine Anfrage in den Blickpunkt der Behörde gebracht. Dem Bescheid zu Grunde lag die beharrliche Weigerung des Unternehmens, einem Auftragsverarbeiter, der sich selbst weigerte, einen AV-Vertrag zu übersenden, selbst einen solchen zur Verfügung zu stellen. Dies stellt nach Auffassung des Datenschutzbeauftragten Hamburgs einen Verstoß gegen Art. 28 Abs. 3 DSGVO dar, wonach bei der Verarbeitung von personenbezogenen Daten durch einen Dritten zwingend ein AV-Vertrag geschlossen werden muss. Diese Pflicht sei keinesfalls eine einseitige des jeweiligen Dienstleisters, sondern vielmehr eine Pflicht, der beide Parteien nachkommen müssten.
Bislang sind nur wenige Berichte über etwaige Bußgelder wegen Verstößen gegen die DSGVO bekannt geworden. Diese häufen sich nunmehr jedoch, so dass davon auszugehen ist, dass die anfängliche Schonfrist bezüglich Kontrollen und Sanktionen der Aufsichtsbehörden vorbei zu sein scheint.
Nähere findet sich bei Heise.