AEPD (Spa­ni­en): Bus­se gegen Auf­trags­be­ar­bei­ter wegen Ver­wei­ge­rung der Datenherausgabe

Die spa­ni­sche Daten­schutz­auf­sichts­be­hör­de AEPD hat mit Datum vom 17. August 2021 eine Bus­se von EUR 100‘000 gegen einen IT-Dienst­lei­ster ver­hängt, der es ent­ge­gen der Bestim­mung der Auf­trags­ver­ar­bei­tungs­ver­ein­ba­rung unter­las­sen hat­te, dem Ver­ant­wort­li­chen die Auf­trags­da­ten her­aus­zu­ge­ben oder den vom Auf­trags­be­ar­bei­ter betrie­be­nen Ser­ver zugäng­lich zu machen. Der Auf­trags­be­ar­bei­ter hat­te ein­ge­wen­det, er habe offe­ne For­de­run­gen gegen den Ver­ant­wort­li­chen. Offen­bar war dem Ver­ant­wort­li­chen dadurch hoher Scha­den entstanden.

Der Ent­scheid illu­striert, dass der Auf­trags­be­ar­bei­ter zwar durch­aus Mög­lich­kei­ten hat, For­de­run­gen gegen den Ver­ant­wort­li­chen durch­zu­set­zen. Die Rech­te der Betrof­fe­nen gehen aber vor. Des­halb soll­te ein Auf­trags­be­ar­bei­ter auch kein Lei­stungs­ver­wei­ge­rungs­recht haben, was die Bear­bei­tung der Auf­trags­da­ten betrifft, was eine Auf­trags­be­ar­bei­tungs­ver­ein­ba­rung fest­hal­ten kann und je nach­dem auch sollte.