Die EDSA (= der Europäische Datenschutzausschuss, dass sind die, die scheinbar permanent nur englische Entschlließungen veröffentlichen) veröffentlichte am 20.12.202 einen Fall, in welchem die polnische Aufsichtsbehörde einen Verantwortlichen zu einem Bußgeld von 2.500 polnischen Zloty (etwa 540 Euro) verurteilte, weil der für die Verarbeitung Verantwortliche einen Auftragsverarbeiter ohne schriftlichen Vertrag eingesetzt hatte und nicht überprüft hatte, ob der Auftragsverarbeiter ausreichende Garantien für die Umsetzung geeigneter technischer Maßnahmen bietet. Wahrscheinlich sind selbst für polnische Verhältnisse 540,- Euro nicht so wahnsinig viel für ein Unternehmen.
Wer lieber einem Fall aus Deutschland mag, den gab es nach dem Tätigkeitsbericht LDA Brandenburg 2019, Ziff.8.3, S. 31 auch: Zum Beispiel für einen Arzt der sich von einem befreundeten IT-Admin die Praxis-IT betreuen lassen hat und u.A. die Daten auf dem Server seines Arbeitgebers gespeichert hatte (dieser brachte den Fall zur Anzeige). Also Auftragsverarbeitung ohne Auftragsverarbeitungsvertrag nach Art. 28 DSGVO bei Gesundheitsdaten mit der Folge eines Bußgeldes in Höhe von 2.500,- Euro. Ist ja auch noch sehr moderat ausgegangen muss man sagen.
