Aktuelle Kurz-Information 6: Entgeltpflicht für Kontrollen bei der Auftragsverarbeitung?

Stichwörter: Auftragsverarbeitung, Entgeltpflicht für Kontrollen - Auftragsverarbeitungs-Vereinbarung - "Einpreisung" - Kontrollen, Verantwortlicher - Vertragsklausel, Auftragsverarbeitung - Vor-Ort-Kontrolle, Verantwortlicher | Stand: 15. November 2021

Was sind die Kernaussagen dieser Aktuellen Kurz-Information?

Nehmen bayerische öffentliche Stellen Leistungen von Auftragsverarbeitern in Anspruch, sollten sie vertragliche Regelungen, die ein gesondertes Entgelt für Kontrollen des Verantwortlichen vorsehen, stets kritisch prüfen.
Entgelte dieser Art sollten nicht so ausgestaltet werden, dass sie die Wahrnehmung von Kontrollrechten faktisch behindern.
Daher sollte besonders darauf geachtet werden, dass solche Entgelte vor allem nach Höhe und Anfall transparent sind und so haushaltsmäßig eingeplant werden können.

Nach Art. 28 Abs. 3 Satz 2 Buchst. h Datenschutz-Grundverordnung (DSGVO) hat eine Auftragsverarbeitungs-Vereinbarung vorzusehen, dass der Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung stellt und Überprüfungen - einschließlich Inspektionen -, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.

Seit der Datenschutzreform 2018 wird diskutiert, ob und inwieweit Auftragsverarbeitungs-Vereinbarungen für den Fall der Wahrnehmung von Kontrollrechten des Verantwortlichen - insbesondere im Fall einer Vor-Ort-Kontrolle - ein gesondertes Entgelt vorsehen können. Der Bayerische Landesbeauftragte für den Datenschutz hat den bayerischen öffentlichen Stellen empfohlen, sich für die Ausübung ihrer gesetzlichen Kontrollrechte nicht zu einem besonderen Entgelt verpflichten zu lassen (vgl. Aktuelle Kurz-Information 6 in der Fassung vom 1. August 2018).

Der Europäische Datenschutzausschuss hat im Juli 2021 nach öffentlicher Konsultation überarbeitete Leitlinien 7/2020 zu den Begriffen des Verantwortlichen und des Auftragsverarbeiters in der Datenschutz-Grundverordnung veröffentlicht, in welche zu der Frage einer Entgeltpflicht für Kontrollen bei der Auftragsverarbeitung die folgenden Erwägungen neu aufgenommen wurden:

"The issue of the allocation of costs between a controller and a processor concerning audits is not covered by the GDPR and is subject to commercial considerations. However, Article 28 (3)(h) requires that the contract include an obligation for the processor to make available all information necessary to the controller and an obligation to allow for and contribute to audits, including inspections, conducted by the controller or another auditor mandated by the controller. This means in practice that parties should not insert in the contract clauses envisaging the payment of costs or fees that would be clearly disproportionate or excessive, thus having a dissuasive effect on one of the parties. Such clauses would indeed imply that the rights and obligations set out in Article 28(3)(h) would never be exercised in practice and would become purely theoretical whereas they form an integral part of the data protection safeguards envisaged under Article 28 GDPR."

Der Europäische Datenschutzausschuss weist zutreffend darauf hin, dass die wirtschaftliche Gestaltung der Austauschbeziehung zwischen dem Verantwortlichen und dem Auftragsverarbeiter durch den Markt und nicht durch die Datenschutz-Grundverordnung reguliert wird. Dies bedeutet allerdings auch, dass es dem Verantwortlichen unbenommen ist, ihm unterbreitete Angebote von Auftragsverarbeitern auf ihre Datenschutzfreundlichkeit zu prüfen und diesen Gesichtspunkt bei der Auswahl des Vertragspartners zu berücksichtigen. Der Verantwortliche wird zudem entsprechende Vorgaben in einen Ausschreibungstext aufnehmen können, wenn die benötigte Leistung in einem Vergabeverfahren beschafft wird.

Der Europäische Datenschutzausschuss gibt ferner zu bedenken, dass Kosten oder Gebühren Maßnahmen des Verantwortlichen nach Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO behindern können. Der Bayerische Landesbeauftragte für den Datenschutz hat dieses Risiko bereits kurz nach der Datenschutzreform 2018 wie folgt beschrieben (Aktuelle Kurz-Information 6 in der Fassung vom 1. August 2018):

"Ein gesondertes Entgelt würde einer Ausübung der Kontrollrechte entgegenwirken. Die Vereinbarung eines Entgelts, einer Aufwandsentschädigung oder eines sonstigen Kostenbeitrags, auch die Vereinbarung, hierzu im Bedarfsfall nachträglich eine die Auftragsverarbeitungs-Vereinbarung ergänzende Regelung zu treffen, führt dazu, dass eine Inspektion beim Auftragsverarbeiter als etwas ‚Außergewöhnliches‘ wahrgenommen wird, das dem Auftraggeber ‚eigentlich‘ nicht zusteht und gerade deshalb außerhalb der wechselseitigen Austauschbeziehung zu vergüten ist. Davon abgesehen kann ein solches Entgelt entweder auf Grund seiner bereits erkennbaren (absoluten) Höhe oder der vertraglich angelegten Unklarheit seiner Berechnung abschreckende Wirkung entfalten."

Soweit ein Auftragsverarbeiter die Besorgnis hat, dass er durch Maßnahmen des Verantwortlichen nach Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO - insbesondere Vor-Ort-Kontrollen - Belastungen ausgesetzt wird, welche den vertraglichen Leistungsaustausch aus dem Gleichgewicht bringen, kann er den erwartbaren Mehraufwand bei der Berechnung der vom Verantwortlichen geforderten Hauptleistung pauschal berücksichtigen. Ergänzend kommen dabei insbesondere vertragliche Bestimmungen in Betracht, dass eine Vor-Ort-Kontrolle grundsätzlich mit einer bestimmten Frist anzukündigen ist, oder dass anlasslose Inspektionen mengenmäßig kontingentiert sind. Diese bislang empfohlene Vorgehensweise (vgl. Aktuelle Kurz-Information 6 in der Fassung vom 1. August 2018) steht nach Auffassung des Bayerischen Landesbeauftragten für den Datenschutz auch weiterhin mit Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO in Einklang.

Soweit die neu gefassten Leitlinien 7/2020 des Europäischen Datenschutzausschusses eine Vereinbarung separater, insbesondere nicht pauschalierter Entgelte für Maßnahmen des Verantwortlichen nach Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO nicht ausschließen, sollten die bayerischen öffentlichen Stellen insbesondere die folgenden Überlegungen berücksichtigen:

Ob eine Klausel für Maßnahmen nach Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO ein eindeutig unverhältnismäßiges oder überhöhtes Entgelt vorsieht, das auf den Verantwortlichen eine abschreckende Wirkung hat, ist stets in Anbetracht der Umstände des Einzelfalls zu würdigen.
Ein Fall eindeutiger Unverhältnismäßigkeit kann insbesondere vorliegen, wenn die während der Vertragsdauer für Maßnahmen nach Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO erwartbaren Kosten oder Gebühren die Gestalt der vom Verantwortlichen zu erbringenden Hauptleistung wesentlich verändern.
Ein eindeutig überhöhtes Entgelt kann insbesondere darauf beruhen, dass der tatsächliche Aufwand beim Auftragsverarbeiter zu den vereinbarten Kosten oder Gebühren in einem grob unangemessenen Verhältnis steht (so etwa bei "Phantasiepreisen" für den Einsatz personeller oder sachlicher Ressourcen oder bei der "Erfindung" von Kontrollgebühren, denen der Auftragsverarbeiter einen Aufwand nicht plausibel zuordnen kann).
Eine abschreckende Wirkung kann etwa dann in Betracht zu ziehen sein, wenn zu erwarten ist, dass der Verantwortliche Maßnahmen nach Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO auf Grund der Kostenbelastung nicht ohne Überwindung weiterer Hürden veranlassen kann. Das ist insbesondere dann der Fall, wenn bei einem kommunalen Träger nach den einschlägigen Vorschriften ein Gremienbeschluss zur Bewilligung außer- oder überplanmäßigen Ausgaben erforderlich wird.
Soweit bayerische öffentliche Stellen im Einzelfall separate, insbesondere nicht pauschalierte Entgelte für Maßnahmen nach Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO vereinbaren möchten, sollten sie vor diesem Hintergrund zum einen auf eine strikte Kostentransparenz achten. Dazu gehört neben einer Markterkundung insbesondere eine Aufwandsprognose. Bereits vor Vertragsschluss sollte zumindest überschlägig ermittelt werden, welche Mittel während der Vertragsdauer voraussichtlich für Maßnahmen nach Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO über die Hauptleistung hinaus bereitgestellt werden müssen. Diese Mittel sollten zum anderen in der haushaltsrechtlich angezeigten Form so eingeplant werden, dass der Verantwortliche im Bedarfsfall jederzeit darauf zugreifen kann, insbesondere eine (zusätzliche) Bewilligung nicht erforderlich ist. Im Übrigen sollten kommunale Träger bei Vertragsschlüssen, die der Zustimmung des kollegialen Hauptorgans bedürfen, auch insofern für Kostentransparenz sorgen.

European Data Protection Board, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.0, Stand 7/2021, Rn. 145, Internet: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_de (externer Link). [Zurück]