Im Beratungsalltag ist immer öfter festzustellen, dass Auftragnehmer in einem Auftragsverarbeitungsverhältnis versuchen dem Auftraggeber Kosten aufzuerlegen. Nun stellt sich die Frage, wie damit umzugehen ist und ob diese Kosten gerechtfertigt sind.
Der Inhalt im Überblick
Auftragsverarbeitungsvertrag nur durch Upgrade
In einem aktuellen Artikel der iapp wird ein Fall geschildert, der in der täglichen Praxis keine Seltenheit ist. Manche Anbieter sind dazu übergegangen Auftragsverarbeitungsverträge nur gegen ein mit finanziellen Kosten verbundenes Upgrade zur Verfügung zu stellen. Insbesondere weltweit tätige große Serviceprovider nutzen dabei ihre Marktmacht aus.
„Sie hatten uns wirklich dort, wo sie uns wollten. Wir sahen uns damit konfrontiert, entweder mit ihnen fortzufahren, indem wir unsere entsprechenden Unterlagen zu Artikel 28 nicht zur Verfügung hatten, oder mehr zu bezahlen, um Compliance zu erreichen. Aber wir haben entschieden, dass uns die Einhaltung der Gesetze wichtiger ist als ein paar tausend Dollar. Aber es hat uns beeindruckt, dass die Kosten für die Erstellung eines Vertrags nach Artikel 28 an uns weitergegeben wurden.“
So oder so ähnlich werden es zahlreiche Unternehmen notgedrungen handhaben. Denn im Endeffekt lautet die Entscheidung
- Compliance,
- die Zahlung eines Aufpreises
- oder das umständliche Wechseln des Anbieters.
Hier stellt sich insbesondere die Frage, ob der Auftragnehmer durch die Verweigerung des Vertragsschlusses nicht auch in die Haftung genommen werden kann.
Kosten für Inspektionen
Eine ebenso weitverbreitete Fragestellung, mit der man bei der Prüfung von Auftragsverarbeitungsverträgen konfrontiert wird, betrifft die Kostentragung für Inspektionen vor Ort beim Auftragnehmer. Viele Verträge enthalten Klauseln, die dem Auftraggeber die Kosten für solche Kontrollen komplett auferlegen.
Nach Art. 28 Abs. 3 lit. h) DSGVO muss ein Auftragsverarbeitungsvertrag unter anderem vorsehen, dass der Auftragsverarbeiter,
„dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt“.
Das Gesetz sieht daher eine ausdrückliche Unterstützungspflicht durch den Auftragnehmer vor.
Der bayrische Landesbeauftragte für den Datenschutz hat genau zu diesem Thema ein Kurzpapier veröffentlicht. Nach Ansicht des Landesbeauftragten darf die Wahrnehmung der Kontrollrechte des Auftraggebers aus datenschutzrechtlicher Sicht nicht von einem besonderen Entgelt abhängig gemacht werden. Dies kann einer Ausübung der gesetzlich vorgesehenen Kontrollrechte entgegenwirken.
Die Behörde empfiehlt daher bayrischen öffentlichen Stellen:
Bayerische öffentliche Stellen sollten bei der Prüfung von neuen Auftragsverarbeitungs-Bedingungen sowie bei Verhandlungen über Anpassungen in bestehenden Vertragsbeziehungen stets darauf achten, dass sie sich für die Ausübung ihrer gesetzlichen Kontrollrechte nicht zu einem besonderen Entgelt verpflichten lassen.
Eine „Einpreisung“, also die entstehenden Kosten von vornherein pauschal in das Angebot der vertraglichen Leistung einzurechnen, hält die Behörde allerdings für vertretbar.
Kosten für sonstige Unterstützungsleistungen
Auch sonstige Unterstützungsleistungen, z.B. im Rahmen von Auskunfts- oder Löschgesuchen Betroffener, machen Auftragnehmer gerne von einer Kostentragungspflicht abhängig. Hier greift soweit möglich auch eine gesetzliche Unterstützungspflicht nach Art. 28 Abs. 3 lit. e) und lit. f) DSGVO. Im Einzelfall kann eine gesetzliche Unterstützungspflicht allerdings faktisch unmöglich sein. Hier empfiehlt sich allerdings sich trotzdem nicht auf eine Kostenklausel einzugehen, sondern den Vertrag auf die konkrete Situation anzupassen.
Hallo,
Hier ist ein Verweis falsch: nicht das BayLDA ist dieser Auffassung, sondern ‚nur‘ der ausschließlich für den öff. Bereich zuständige Landesbeauftragte für den Datenschutz.
Vielen Dank für den Hinweis, wir haben die Stelle entsprechend geändert.
Der Hinweis von RK ist zutreffend, zumal das BayLDA diese Frage anders sieht bzw. gesehen hat.
BayLDA
GDD, DatenschutzNewsbox 10/2016
Seite 8
„Kostenverteilung für Vor-Ort-Kontrollen bei ADV
Frage:
Darf der Dienstleister hierzu den Aufwand, der für ihn durch die Vor-Ort-Prüfung durch das Zur-Verfügungstellen von Personal entsteht, dem Auftraggeber in Rechnung stellen (auch wenn dies vertraglich nicht explizit geregelt wurde)?
Antwort BayLDA:
Hierzu können wir nichts sagen. Das ist keine datenschutzrechtliche, sondern eine zivilrechtliche Streitfrage zur Auslegung eines Vertrags für nicht konkret geregelte Sachverhalte (Kernfrage: Was ist dem Auftragnehmer an Aufwand entschädigungslos zumutbar, damit der Auftraggeber seine BDSG-Kontrollpflichten erfüllen kann, und ab wann besteht ein unzumutbarer Aufwand, für den der Auftragnehmer einen angemessenen Aufwand-Ersatz verlangen kann?). Am besten ist natürlich eine Festlegung im Vertrag dazu.“
https://www.datakontext.com/media/pdf/4f/e2/89/Newsbox_10_2016.pdf
Vielen Dank. Der Hinweis von RK wurde bereits übernommen.
Hallo Dr. Datenschutz,
ich hätte auch einmal eine Frage zur Kostenweiterreichung. Wir selber haben durch unseren Datenschutzbeauftragten einen 8 seitigen ADV aufsetzen lassen, anwaltlich wurde dieser geprüft uns ist unserer Meinung nach vollkommen ausreichend, diesen haben wir unseren Kunden zukommen lassen.
Viele Kunden, hier eigentlich immer die größeren Kunden, schicken uns allerdings deren Aufgesetzten ADV Vertrag, diese Verträge sind oft jenseits der 15 Seiten, wo wir dann das Problem haben, dass wir diesen wieder extern prüfen lassen müssen, um nicht irgendetwas zu unterschreiben, was für uns negative folgen haben könnte.
Für diese Prüfung nimmt der externe Dienstleister natürlich Geld und wenn jede Prüfung zwischen 300-500 EUR anfallen, denn oft sind zwischen unserem externen Datenschutzbeauftragen und dem Kunden noch einige Telefonate und Anpassungen der Kunden ADV’s notwendig, dass dann hochrechnet bei z.B. 500 Kunden, wo unser externer Datenschutzbeauftrage die Kunden ADV’s prüfen muss, kommt ein stattliches Sümmchen von 150000 EUR bis zu 250000 EUR am Ende heraus und für ein kleines Unternehmen ist das schon ein beachtlicher Kostenfaktor.
Meine Frage hierzu nun:
Können wir diese externen Prüfungskosten an einen Kunden, der unbedingt seinen ADV durchdrücken will und unseren kostenfreien ADV nicht akzeptiert, weitergeben?
Mit freundlichen Grüßen
NA
Die Frage ist nicht datenschutzrechtlicher Natur, vielmehr handelt es sich dabei um vertragsrechtliche und wirtschaftliche Erwägungen. Sie sollten sich an einen für vertragsrechtliche Fragen spezialisierten Anwalt wenden.