Bei einer Auftragsverarbeitung kann der Verantwortliche seinen Auftragsverarbeiter kontrollieren, um die Umsetzung der datenschutzrechtlichen und vertraglichen Pflichten zu überprüfen. Diese Kontrollrechte sind gesetzlich nicht konkret festgelegt und können daher in der Praxis verschiedentlich ausgestaltet sein. Wie groß der Gestaltungsspielraum hierbei tatsächlich ist und ob die Kontrollrechte sogar eingeschränkt werden können soll in diesem Beitrag näher beleuchtet werden.
Der Inhalt im Überblick
Auftragsverarbeitung und Kontrollrechte
Die Auftragsverarbeitung ist ein immer wiederkehrendes Thema in der Datenschutzwelt. Schon ganz zu Beginn einer Prüfung kann einen die Frage umtreiben, ob überhaupt eine Auftragsverarbeitung vorliegt. Damit haben wir uns bereits in einigen Artikeln beschäftigt, etwa zu der Frage der Vor- und Nachteile eines AVV oder der Abgrenzung zwischen Auftragsverarbeiter und eigener Verantwortlichkeit. Damit ist der Fall jedoch zumeist nicht abgeschlossen. Art. 28 Abs. 3 DSGVO macht zwar recht genaue Vorgaben, wie ein Auftragsverarbeitungsvertrag (AVV) inhaltlich auszusehen hat, es finden sich jedoch auch Stellen, die den Vertragsparteien einen gewissen Gestaltungsspielraum überlassen. Inwieweit sich die Parteien hier „austoben“ dürfen und wo die Grenzen sind wirft in der Praxis oftmals Fragen auf. Konkret soll es in diesem Beitrag um die Klausel gehen, die den Auftragsverarbeiter zur Duldung von Kontrollmaßnahmen des Verantwortlichen verpflichtet.
Was sagt das Gesetz zur Dienstleisterkontrolle?
Die Regelungen zur Kontrolle von Auftragsverarbeitern ist ein Pflichtbestandteil eines AVV und in Art. 28 Abs. 3 lit. h DSGVO geregelt:
„Dieser Vertrag bzw. dieses andere Rechtsinstrument sieht insbesondere vor, dass der Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.“
Der Vertrag soll also eine Klausel enthalten, die es dem Verantwortlichen gestattet den Auftragsverarbeiter zu kontrollieren und der Auftragsverarbeiter soll dazu sogar aktiv beitragen. Das ist nachvollziehbar, da ohne die Mitwirkung des Auftragsverarbeiters eine Kontrolle kaum durchzuführen wäre, da er regelmäßig den alleinigen Überblick über die von ihm verarbeiteten Daten hat.
Darüber wie genau eine solche Dienstleisterkontrolle auszusehen hat und wer hierbei gegebenenfalls anfallende Kosten tragen soll schweigt sich die Norm weitestgehend aus. Hier besteht ein Gestaltungsspielraum der Parteien. Es müsste hierbei allerdings im Ergebnis gewährleistet sein, dass sich der Verantwortliche von der Ordnungsmäßigkeit der Auftragsverarbeitung überzeugen kann. Die Art und Weise der Kontrollen sollte daher für die jeweilige Konstellation angepasst werden. Dabei können folgende Punkte Berücksichtigung finden:
- Risiken für die Betroffenen,
- Umfang der Verarbeitung,
- Art und Sensibilität der verarbeiteten Daten,
- Möglichkeit von Drittkontrollen (Auditierungen, Zertifizierungen).
Wie wird das Kontrollrecht umgesetzt?
Der Gesetzgeber sieht es als nicht zwingend erforderlich, dass der Verantwortliche eine eigene Kontrolle vor Ort beim Auftragsverarbeiter durchführt. Die Möglichkeit dazu soll er sich allerdings vertraglich zumindest zusichern lassen. Er kann die Kontrollen grundsätzlich jedoch auch auf andere Weise durchführen, z.B. durch:
- Vorlage eines schlüssigen Datensicherheitskonzepts,
- Informationseinholung mittels Fragebögen,
- die Anforderung von Prüfergebnissen,
- Einschaltung von sachverständigen Dritten.
Art. 28 Abs. 5 DSGVO sieht sogar ausdrücklich vor, dass die Einhaltung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens durch einen Auftragsverarbeiter als Faktor herangezogen werden kann, um hinreichende Datenschutzgarantien im Auftragsverhältnis nachzuweisen.
Typische Einschränkungen des Kontrollrechts
In der Praxis finden sich, oftmals von Seiten des Auftragsverarbeiters verfasste, Einschränkungen des Kontrollrechts. Typisch ist etwa die Vorgabe, dass durch die Prüfung der Betriebsablauf nicht gestört werden darf oder die Prüfung zu den üblichen Geschäftszeiten zu erfolgen hat. Auch die Pflicht zu einer Voranmeldung der Prüfung, der Ausschluss von Prüfern, die womöglich in einem Wettbewerbsverhältnis zum Auftragsverarbeiter stehen sowie die Begrenzung von Prüfungen auf einmal im Jahr sind häufig anzutreffen. Gerade größere Anbieter möchten aus verständlichen Gründen vermeiden, dass ihre Kunden Zugang zu ihren Einrichtungen erhalten. Sie bauen ihre AVVs oftmals so auf, dass die tatsächliche Begehung vor Ort eine Art „ultima ratio“ darstellt, d.h. nur möglich sein soll, soweit vorgelegte Berichte, Audits oder Zertifizierungen für den Verantwortlichen aus nachvollziehbaren Gründen nicht ausreichend sind.
Gerade bei größeren Rechenzentren, welche dem IT-Outsourcing dienen, können Vor-Ort-Kontrollen auch Verarbeitungsrisiken erhöhen, so dass eine Prüfung durch unabhängige Dritte sinnvoll erscheint. Zudem werden dem Verantwortlichen häufig das technische Know-how und auch die Personalkapazität fehlen, um Kontrollen tatsächlich selbst durchzuführen.
Sind solche Einschränkungen zulässig?
Pauschal lässt sich leider nicht beantworten, inwieweit Einschränkungen der Dienstleisterkontrolle datenschutzrechtlich zulässig sind. Im Schrifttum ist diese Frage umstritten und während einige ein umfassendes, unbeschränktes Kontrollrecht fordern, sehen andere gewisse Einschränkungen unter bestimmten Bedingungen als möglich an. Gerichtsurteile und behördliche Stellungnahmen sind zu diesem Zeitpunkt noch Mangelware. Eindeutig unzulässig dürften jedenfalls Klauseln sein, welche Inspektionen (d.h. Vor-Ort-Kontrollen) vollständig verbieten, da diese ausdrücklich vom Wortlaut der Norm vorgesehen sind. Andere kleinere Einschränkungen, wie etwa das Verbot der Störung des Betriebsablaufs oder die Maßgabe Kontrollen nur während der üblichen Geschäftszeiten durchzuführen dürften unter Berücksichtigung des Interesses an einer effektiven und vertrauensvollen Zusammenarbeit zwischen Auftragsverarbeiter und Verantwortlichem vertretbar sein.
Ob solche Einschränkungen vom Verantwortlichen akzeptiert werden sollten, ist daher eine Frage des Einzelfalls und wohl auch der Verhandlungsmacht (größere Anbieter werden ihre Verträge eher nicht zu ihren Ungunsten anpassen). Der Verantwortliche sollte sich bei der Risikoabwägung jedoch stets bewusst sein, dass er am Ende auf erster Ebene für datenschutzrechtliche Missstände seines Auftragsverarbeiters einzustehen hat.
Kann der Auftragsverarbeiter die Kosten einer Dienstleisterkontrolle verlangen?
Weit verbreitet sind auch Klauseln, welche den Verantwortlichen die Kosten für etwaige Kontrollen aufbürden. Es findet sich z.B. folgende Formulierung:
„Für die Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer einen Vergütungsanspruch geltende machen.„
Mit der Frage der Zulässigkeit solcher Klauseln hat sich bereits der Europäische Datenschutzausschuss (EDSA) beschäftigt. In seinen EDPB Guidelines 07/2020, (Rn. 145) führt er aus, dass die Frage der Kostenverteilung zwischen einem Verantwortlichen und einem Auftragsverarbeiter im Zusammenhang mit Kontrollmaßnahmen grundsätzlich gar nicht unter die DSGVO fällt. Es sei vielmehr eine wirtschaftliche Frage zwischen den Akteuren. Da der Auftragsverarbeiter jedoch verpflichtet ist die Kontrollen zu ermöglichen und dazu beizutragen dürfen die Parteien jedenfalls keine Klauseln vereinbaren, bei denen die Kosten eindeutig unangemessen und unverhältnismäßig sind. So soll verhindert werden, dass die Kontrollrechte des Verantwortlichen nicht faktisch unmöglich gemacht werden, da die hohen Kosten ihn abschrecken und er deshalb seine Rechte in der Praxis nicht wahrnimmt. Im Umkehrschluss bedeutet dies jedoch auch, dass das Verlangen angemessener Vergütung nicht pauschal unzulässig sein dürfte.
In Deutschland hat sich der BayLfD zu diesem Thema geäußert und erklärt, dass ein gesondertes Entgelt für Kontrollen zwar kritisch betrachtet werden soll, er sich aber grundsätzlich der Ansicht des EDSA anschließt, dass Kosten nicht so ausgestaltet werden dürfen, dass sie die Wahrnehmung von Kontrollrechten faktisch behindern.
Es sollte daher stets beachtet werden, dass die Kosten nicht so hoch veranschlagt werden. dass die Kontrollmöglichkeiten des Verantwortlichen unverhältnismäßig eingeschränkt würden. Denkbar wäre z.B. eine ausgeglichene Lösung, bei der eine bestimmte Anzahl von Kontrollen kostenlos ermöglicht wird und nur für darüber hinausgehende Kontrollen eine Vergütung fällig wird.
Was bedeutet das für die Praxis?
Angesichts der noch unklaren Rechtslage sollte darauf geachtet werden die Gestaltung solcher Klauseln nicht zu restriktiv zu handhaben und Einschränkungen sowie Vergütungsklauseln nur dosiert und mit etwas Fingerspitzengefühl vorzunehmen.
Am Ende wird es häufig eine unternehmerische Risikoentscheidung des Verantwortlichen sein, ob er sich bestimmten Regelungen seines Auftragsverarbeiters unterwerfen möchte und sicher auch darauf ankommen, wer am Verhandlungstisch am längeren Hebel sitzt. Es sei noch gesagt, dass in der Praxis solche Dienstleisterkontrollen eher selten vorkommen. Das mag auch daran liegen, dass bislang die Aufsichtsbehörden auch noch nicht flächendeckend geprüft haben, inwieweit die Verantwortlichen ihren Prüfpflichten nachkommen. Freilich kann nicht ausgeschlossen werden, dass dies in Einzelfällen dennoch erfolgt oder künftig ein größeres Thema wird.
Webinar zum Thema „Auftragsverarbeitung“
Wenn Sie Ihr Fachwissen für den Unternehmensalltag weiter vertiefen möchten, besuchen Sie doch unser Webinar „Auftragsverarbeitung in der Praxis – AVV im nationalen und internationalen Kontext“. Dort wird Ihnen gezeigt, welche wesentlichen Punkte beachtet werden müssen. Wir freuen uns, Sie begrüßen zu dürfen!
Mittwoch, den 27.11.2024
von 09:30 bis 12:00 Uhr
Das Kleingruppenformat ist sehr praxisbezogen gestaltet und bietet anhand eines fiktiven Szenarios viele Best-Practice-Beispiele für die Umsetzung in Ihrem Unternehmen.
Im Jahr 2022 wurde von der Berliner Beauftragen für Datenschutz und Informationsfreiheit eine „Checkliste Prüfung AVV“ aufgestellt. Wie sind deren Ansichten zu beurteilen?
Eine konkrete Auffassung hinsichtlich der Zulässigkeit von Kostentragungspflichten lässt sich dort nicht herauslesen. Zumindest jedoch eine Kostentragungspflicht des Auftraggebers, wenn eine Kontrolle wegen Gesetzes- oder Vertragsverstoß durch den Auftragnehmer erforderlich wurde scheint die Behörde in jedem Fall für unzulässig zu halten. Unklar ist jedoch, ob und in welchem Umfang die Übernahme der Kosten womöglich zulässig sein soll, wenn diese nicht diesen genannten Fall umfassen.
Hinsichtlich der Beschränkung der Kontrollrechte sind hier hingegen einige äußerst restriktive Ansichten zu erkennen. Unzulässig sollen z.B. sein:
– Beschränkung der Dauer, Häufigkeit
– Ersetzung des Kontrollrechts des Verantwortlichen durch Kontrolle/Audit/Zertifizierung durch Dritte
– Beschränkung auf Kontrollen bei Auftragnehmer ohne Unterauftragnehmer
Solche Vorgaben dürften zu großen Teilen für Auftragnehmer in der Praxis kaum oder nur schwerlich umzusetzen sein. Der Einsatz unabhängiger Dritte kann etwa auch für den Auftraggeber sinnvoll sein und ein „durchgreifendes“ Kontrollrecht auf seine Unterauftragnehmer wird der Auftragnehmer regelmäßig überhaupt nicht garantieren können.
Beim Kontrollrecht sollte im Vertrag aber geregelt sein, dass für den Auftraggeber keine Kosten entstehen, wenn der Auftragnehmer Anlass zu einer solchen Kontrolle gegeben hat (z.B. Datenschutzvorfall beim AN mit den Daten des AG).