AEPD: 500.000 EUR Bußgeld für mangelnde Kontrolle der Auftragsverarbeitung

Die spa­ni­sche Daten­schutz­auf­sicht AEPD hat am 10. Okto­ber 2025 gegen eine Bank ein Buß­geld in Höhe von 500.000 EUR ver­hängt. Der Grund: Eine unzu­rei­chen­de Über­wa­chung des ein­ge­setz­ten Dienst­leis­ters (Ver­fah­ren PS-00001–2025).

Link zum Beschluss (Spa­nisch, PDF)

Der Sach­ver­halt: Daten­ver­lust beim Kurierdienst

Eine betrof­fe­ne Per­son beab­sich­tig­te, als Mit­in­ha­be­rin zu einem bestehen­den Kon­to hin­zu­ge­fügt zu wer­den. Das von der Bank vor­ge­se­he­ne Ver­fah­ren sah vor, ein For­mu­lar sowie eine Aus­weis­ko­pie in einem Umschlag per Kurier­dienst an das Insti­tut zu senden.

Obwohl der Kurier­dienst direkt von der Bank beauf­tragt wur­de, kam die Sen­dung nie am Bestim­mungs­ort an. Trotz Nach­fra­gen und Recher­chen konn­te der Ver­bleib der sen­si­blen Unter­la­gen nicht geklärt wer­den. Nach­dem der Ver­lust offi­zi­ell bestä­tigt wur­de, been­de­te die Bank die Zusam­men­ar­beit mit dem Dienst­leis­ter. Die betrof­fe­ne Per­son reich­te dar­auf­hin Beschwer­de ein, die schließ­lich bei der AEPD landete.

Die Ver­stö­ße: War­um die Bank als Ver­ant­wort­li­che haftet

Aus Sicht der AEPD lag das Haupt­ver­schul­den nicht allein beim Kurier­dienst, son­dern pri­mär bei der Bank als Ver­ant­wort­li­cher im Sin­ne der DSGVO.

Die Kern­punk­te der Entscheidung:

• Man­geln­de Über­wa­chung (Art. 32 DSGVO): Die Bank ver­füg­te über kei­ne aus­rei­chen­den tech­ni­schen und orga­ni­sa­to­ri­schen Maß­nah­men (TOM), um den Auf­trags­ver­ar­bei­ter effek­tiv zu kontrollieren.
• Feh­len­de Prü­fung der Sicher­heits­maß­nah­men: Es wur­de nicht veri­fi­ziert, ob die ver­trag­lich ver­ein­bar­ten Sicher­heits­stan­dards beim Dienst­leis­ter in der Pra­xis tat­säch­lich umge­setzt wurden.
• Lücken­haf­te Ver­trags­ge­stal­tung: Der Ver­trag beschränk­te die Haf­tung des Dienst­leis­ters ledig­lich auf die Abho­lung, nicht jedoch auf den gesam­ten Versandweg.
• Kein Moni­to­ring-Sys­tem: Die Bank hat­te kei­ne eige­nen Mecha­nis­men, um Ver­zö­ge­run­gen oder aus­blei­ben­de Zustel­lun­gen eigen­stän­dig zu erken­nen; sie ver­ließ sich blind auf Sam­mel­be­rich­te des Dienstleisters.
• Intrans­pa­ren­te Sub-Unter­neh­mer­ket­te: Im kon­kre­ten Fall konn­te die Bank nicht nach­voll­zie­hen, wel­cher Unter­auf­trag­neh­mer die Sen­dung tat­säch­lich abge­holt hatte.

Die AEPD wer­te­te dies als schwer­wie­gen­des Orga­ni­sa­ti­ons­ver­sa­gen im Umgang mit Auftragsverarbeitern.

Die Begrün­dung: War­um das Buß­geld so hoch ausfällt

Die Behör­de sah einen kom­bi­nier­ten Ver­stoß gegen Art. 32 DSGVO (Sicher­heit der Ver­ar­bei­tung) und Art. 28 DSGVO (Auf­trags­ver­ar­bei­ter).

Wich­ti­ge Erkennt­nis­se aus dem Beschluss:

• Kei­ne Zeit-Aus­nah­me: Ver­ant­wort­li­che müs­sen Dienst­leis­ter immer sorg­fäl­tig aus­wäh­len – auch bei kurz­fris­ti­ger Zusam­men­ar­beit (Art. 28 Abs. 1 DSGVO).
• Kon­troll­pflicht wäh­rend der Lauf­zeit: Es reicht nicht aus, Sicher­heits­maß­nah­men in den Ver­trag zu schrei­ben. Die­se müs­sen wäh­rend der gesam­ten Ver­trags­lauf­zeit über­wacht und regel­mä­ßig über­prüft werden.
• Gesamt­be­trach­tung der Risi­ken: Der Ver­lust einer Aus­weis­ko­pie in Ver­bin­dung mit der feh­len­den Mel­dung durch den Dienst­leis­ter zeigt laut AEPD deut­lich, dass das Kon­troll­sys­tem der Bank unzu­rei­chend war.

Dies führ­te schluss­end­lich zur Fest­set­zung des Buß­gel­des von 500.000 EUR.

Les­sons Lear­ned für Unter­neh­men und Behörden

Die­ser Fall bie­tet wich­ti­ge pra­xis­na­he Erkennt­nis­se für das Datenschutz-Management:

• Auf­trags­ver­ar­bei­tung ist Chef­sa­che: Ver­ant­wort­li­che blei­ben recht­lich in der Pflicht, auch wenn ope­ra­ti­ve Auf­ga­ben aus­ge­la­gert werden.
• Prü­fung vor Beauf­tra­gung: Vor­ab-Prü­fun­gen (z. B. durch Audits, Zer­ti­fi­ka­te oder Refe­ren­zen) sind essen­zi­ell, um das ver­spro­che­ne Sicher­heits­ni­veau zu validieren.
• Akti­ves Moni­to­ring: Eta­blie­ren Sie Stich­pro­ben, defi­nie­ren Sie KPIs (z. B. Zustell­quo­ten) und ver­an­kern Sie kla­re Eska­la­ti­ons­we­ge sowie Mel­de­pflich­ten in Ihren Verträgen.
• Trans­pa­renz bei Sub-Dienst­leis­tern: Behal­ten Sie die gesam­te Ket­te im Blick und stel­len Sie sicher, dass auch Unter­auf­trag­neh­mer die DSGVO-Anfor­de­run­gen erfüllen.
• Nach­weis­ba­res Risi­ko­ma­nage­ment: Die DSGVO for­dert kein Null-Risi­ko, aber ein trans­pa­ren­tes und ange­mes­se­nes Risi­ko­ma­nage­ment mit wirk­sa­men TOM.

Ins­be­son­de­re, aber nicht nur Unter­neh­men in regu­lier­ten Sek­to­ren (Ban­ken, Ver­si­che­run­gen) soll­ten die­sen Fall zum Anlass neh­men, ihre Pro­zes­se bei der Über­mitt­lung phy­si­scher Doku­men­te und die Kon­trol­le ihrer Dienst­leis­ter­ket­te kri­tisch zu hinterfragen.

War­um wir von der a.s.k. Daten­schutz bei der Dienst­leis­ter-Prü­fung so genau hinschauen

Die­ser Fall der AEPD ver­deut­licht, war­um wir die Prü­fung von Dienst­leis­tern nach Art. 28 DSGVO so akri­bisch ange­hen. Was für Außen­ste­hen­de gele­gent­lich „pin­ge­lig“ erschei­nen mag, ist in Wahr­heit der not­wen­di­ge Schutz vor exis­ten­zi­el­len Buß­gel­dern und Haftungsrisiken.

Ein Ver­trag auf dem Papier reicht nicht aus – die geleb­te Auf­sicht ist ent­schei­dend. Des­halb ist die kon­se­quen­te Wie­der­vor­la­ge und Über­wa­chung über unser DSMS-Tool für uns kei­ne Kür, son­dern eine Pflicht­auf­ga­be. Nur durch ein sys­te­ma­ti­sches Moni­to­ring stel­len wir sicher, dass die Sicher­heit der Ver­ar­bei­tung über die gesam­te Ver­trags­lauf­zeit hin­weg gewährt bleibt.