≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 30.07.2018

Aktuelle Kurz-Information 6 - Keine gesonderte Entgeltpflicht für Kontrollen bei der Auftragsverarbeitung

Stichwörter: Auftragsverarbeitung - Auftragsverarbeitungs-Vereinbarung - Einpreisung - Vertragsklausel, datenschutzrechtlich unzulässige - Vor-Ort-Kontrolle

Die Datenschutzreform 2018 veranlasst zahlreiche Auftragsverarbeiter, ihre Geschäftsbedingungen neu zu fassen sowie auf Anpassungen in den mit ihren Auftraggebern vereinbarten Regelungen hinzuwirken. Bayerische öffentliche Stellen wurden von Auftragsverarbeitern in diesem Zusammenhang unter anderem mit dem Ansinnen konfrontiert, einer Vertragsklausel zuzustimmen, die dem Auftraggeber eine Vor-Ort-Kontrolle nur gegen ein besonderes Entgelt ermöglicht. In datenschutzrechtlicher Hinsicht kann ich dazu folgende Hinweise geben:

Gesetzliche Ausgangslage

Nach Art. 28 Abs. 3 Satz 2 Buchst. h Datenschutz-Grundverordnung (DSGVO) hat eine Auftragsverarbeitungs-Vereinbarung vorzusehen, dass der Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung stellt und Überprüfungen - einschließlich Inspektionen -, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.

Auftraggeber weiterhin Verantwortlicher, Kontrollrechte

Bei der Auftragsverarbeitung verbleibt der Verantwortliche grundsätzlich in dieser Stellung (vgl. Art. 4 Nr. 8 DSGVO); er ist umfassend weisungsberechtigt (vgl. Art. 28 Abs. 3 Satz 2 Buchst. a DSGVO), entscheidet allein über den Zweck der Verarbeitung und hat auch dafür einzustehen, dass diese von einer Rechtsgrundlage gedeckt ist. Die Auftragsverarbeitung ist gerade kein datenschutzrechtliches "Rundum-sorglos-Paket".

Vor diesem Hintergrund sieht Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO Kontrollrechte vor, die ohne besondere Begründung seitens des Verantwortlichen als Auftraggeber und ohne Abwehrmöglichkeit seitens des Auftragsverarbeiters (Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO: "und dazu beiträgt") auszuüben sein müssen. Andernfalls könnte der Verantwortliche nämlich seinen bei ihm auch nach Einbindung eines Auftragsverarbeiters verbleibenden Pflichten insbesondere gegenüber den betroffenen Personen nicht angemessen nachkommen.

Keine gesonderte Entgeltpflicht für Wahrnehmung von Kontrollrechten

Daher darf die Wahrnehmung der Kontrollrechte des Auftraggebers aus datenschutzrechtlicher Sicht nicht von einem besonderen Entgelt abhängig gemacht werden. Dies gilt gerade auch für Vor-Ort-Kontrollen beim Auftragsverarbeiter. Ein gesondertes Entgelt würde einer Ausübung der Kontrollrechte entgegenwirken. Die Vereinbarung eines Entgelts, einer Aufwandsentschädigung oder eines sonstigen Kostenbeitrags, auch die Vereinbarung, hierzu im Bedarfsfall nachträglich eine die Auftragsverarbeitungs-Vereinbarung ergänzende Regelung zu treffen, führt dazu, dass eine Inspektion beim Auftragsverarbeiter als etwas "Außergewöhnliches" wahrgenommen wird, das dem Auftraggeber "eigentlich" nicht zusteht und gerade deshalb außerhalb der wechselseitigen Austauschbeziehung zu vergüten ist. Davon abgesehen kann ein solches Entgelt entweder auf Grund seiner bereits erkennbaren (absoluten) Höhe oder der vertraglich angelegten Unklarheit seiner Berechnung abschreckende Wirkung entfalten.

Wahrung der Interessen des Auftragsverarbeiters

Dem berechtigten Interesse des Auftragsverarbeiters, nicht von seinen Auftraggebern "überrannt" zu werden, ist dadurch Rechnung getragen, dass jede Partei einer Auftragsverarbeitungs-Vereinbarung nach Treu und Glauben zur Rücksichtnahme auf die jeweils andere Partei verpflichtet ist. Diese Verpflichtung kann in der Vereinbarung durchaus näher ausgestaltet werden. In Betracht kommen etwa Bestimmungen, dass eine Vor-Ort-Kontrolle grundsätzlich mit einer bestimmten Frist anzukündigen bzw. abzustimmen ist, oder dass anlasslose Inspektionen mengenmäßig kontingentiert sind.

"Einpreisung" der Folgekosten von Vor-Ort-Kontrollen

Unbenommen bleibt dem Auftragsverarbeiter selbstverständlich auch, die ihm durch Vor-Ort-Kontrollen seines Auftraggebers entstehenden Kosten von vornherein pauschal in das Angebot der vertraglichen Leistung einzurechnen ("Einpreisung"). Dabei ist zu berücksichtigen, dass der Auftraggeber auf die von der Datenschutz-Grundverordnung als Regelungsgegenstände einer Auftragsverarbeitungs-Vereinbarung obligatorisch vorgesehenen Kontrollrechte nicht verzichten kann.

Bayerische öffentliche Stellen sollten bei der Prüfung von neuen Auftragsverarbeitungs-Bedingungen sowie bei Verhandlungen über Anpassungen in bestehenden Vertragsbeziehungen stets darauf achten, dass sie sich für die Ausübung ihrer gesetzlichen Kontrollrechte nicht zu einem besonderen Entgelt verpflichten lassen.