≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 25.05.2022

2. Allgemeines Datenschutzrecht

2.1. "Datenschutzreform 2018" - Weiterentwicklung des Informationsangebots des Bayerischen Landesbeauftragten für den Datenschutz

Verantwortliche können einen den rechtlichen, technischen und organisatorischen Standards entsprechenden Datenschutz nur sicherstellen, wenn sie auch über das dafür erforderliche Wissen verfügen. Vor diesem Hintergrund lege ich besonderen Wert auf ein differenziertes Angebot an Orientierungshilfen, Arbeitspapieren, Aktuellen Kurz-Informationen sowie sonstigen Materialien. Dieses Angebot habe ich auch im Berichtszeitraum gepflegt und weiter ausgebaut. Es steht auf meiner Internetpräsenz https://www.datenschutz-bayern.de in der Rubrik "Datenschutzreform 2018" zum kostenfreien Abruf bereit.

Im Berichtszeitraum habe ich zwei umfangreiche Orientierungshilfen zu zentralen Fragen des Datenschutzrechts veröffentlicht. Die meinem Aufgabenkreis entsprechend an bayerische öffentliche Stellen adressierten Papiere haben erfreulicherweise Resonanz auch im nichtöffentlichen Bereich sowie außerhalb Bayerns erfahren.

  • Die Orientierungshilfe "Die Einwilligung nach der Datenschutz-Grundverordnung" behandelt systematisch eine wesentliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten (vgl. Art. 6 Abs. 1 UAbs. 1 Buchst. a DSGVO). Sie geht insbesondere auf die Frage ein, wann Staatsbehörden und Kommunen dieses Instrument einsetzen dürfen. Detailliert erläutert werden die Voraussetzungen für eine wirksame Einwilligung. Themen sind ferner Widerruf und Aufbewahrung, auch die Fortgeltung früherer Einwilligungen. Eine Checkliste für die praktische Anwendung schließt die Orientierungshilfe ab.
  • Mit der Orientierungshilfe "Bayerische öffentliche Stellen und Telemedien" habe ich diesen Verantwortlichen bereits alsbald nach Inkrafttreten des Telekommunikation-Telemedien-Datenschutz-Gesetzes eingehende Erläuterungen zum neuen Recht zur Verfügung gestellt. Einen Schwerpunkt bilden die Regelungen zu Cookies, insbesondere was das Bedürfnis nach und die Anforderungen an Einwilligungen sowie das Verhältnis der einschlägigen Vorgaben zum allgemeinen Datenschutzrecht betrifft. Prüfraster zum Einsatz und zur Ausgestaltung von Einwilligungsbannern sowie Listen zur Abgrenzung einwilligungspflichtiger und nicht einwilligungspflichtiger Cookies zielen auf weiteren Praxisnutzen.

Im Verlauf des Berichtszeitraums habe ich zudem mehrere Arbeitspapiere herausgebracht. Das Arbeitspapier "Der Sozialdatenschutz unter Geltung der Datenschutz-Grundverordnung (DSGVO)" stellt ein bereichsspezifisches Datenschutzrecht vor. Wie das Arbeitspapier "Datenschutz bei kommunalen Mitteilungsblättern" (siehe Beitrag Nr. 5.4) zeigt, sind die rechtlichen Vorgaben auch bei scheinbar randseitigen Themen mitunter nicht unkompliziert. Hier habe ich den bayerischen Kommunen auch Formulare zur Verfügung gestellt, die dabei helfen sollen, die vorgestellten "Fettnäpfchen" möglichst zu umgehen. Großer Nachfrage erfreut sich schließlich das Arbeitspapier "Verarbeitung des COVID-19-Impfstatus im bayerischen öffentlichen Dienst" (siehe Beitrag Nr. 8.1), das einschlägige Rechtsgrundlagen aufzeigt und zueinander in Beziehung setzt und bereits in einer überarbeiteten Version vorliegt.

Unter den bewährten Aktuellen Kurz-Informationen erschien im Berichtszeitraum erstmals ein vom Bayerischen Landesamt für Datenschutzaufsicht und mir gemeinsam getragenes Papier. Die Gemeinsame Aktuelle Kurz-Information 1 "Befreiung von der Maskenpflicht aus gesundheitlichen Gründen" befasst sich aus Datenschutzsicht insbesondere mit der Gestaltung von Befreiungsattesten, der Berechtigung, solche Atteste einzusehen, sowie der Dokumentation entsprechender Kontrollen. Ich würde mich freuen, wenn dem Papier weitere Gemeinsame Aktuelle Kurz-Informationen folgen könnten.

In alleiniger Verantwortung habe ich die Aktuellen Kurz-Informationen 35 bis 40 publiziert; auch auf Grund der kontinuierlich hohen Nachfrage auf meiner Internetpräsenz möchte ich den Beitrag zur "3G-Zutrittsregel im bayerischen öffentlichen Dienst" besonders hervorheben (siehe Beitrag Nr. 8.1).

Meine Veröffentlichungen im Zusammenhang mit der COVID-19-Pandemie passe ich immer wieder aufs Neue dem sich rasch ändernden rechtlichen Rahmen an. Einige bereits im Jahr 2018 bereitgestellte Papiere habe ich im Berichtszeitraum aktualisiert und teils grundlegend überarbeitet.

Bayerische öffentliche Stellen, ihre Datenschutzbeauftragten wie auch alle anderen am Datenschutz Interessierten haben die Möglichkeit, sich per RSS-Feed über Neuigkeiten auf meinen Internetseiten informieren zu lassen. Dieses Angebot ist eine datenschutzfreundliche Alternative zu einem Newsletter, weil es ohne eine Sammlung von Kontaktdaten auskommt. Für jede neue Publikation wird ein Hinweis mit einer kurzen Inhaltsangabe gepostet. Die Einbindung von RSS-Feeds in einen E-Mail-Client ist in der Regel nicht schwierig. Hinweise dazu sind auf https://www.datenschutz-bayern.de unter "RSS" zu finden.

Auch für das Jahr 2022 sind wieder mehrere neue Orientierungshilfen und Arbeitspapiere geplant. Die Reihe "Aktuelle Kurz-Informationen" wird ebenfalls fortgesetzt.

2.2. Office-Anwendungen aus Drittstaaten bei bayerischen öffentlichen Stellen

Gegenwärtig bestehen bei zahlreichen bayerischen öffentlichen Stellen (Verantwortliche) Unsicherheiten, was den Einsatz von Office-Anwendungen aus dem Nicht-EU-Ausland, insbesondere den Vereinigten Staaten von Amerika (USA), betrifft. Den Bayerischen Landesbeauftragten für den Datenschutz haben insoweit zahlreiche Anfragen vor allem aus dem Bereich der bayerischen öffentlichen Schulen erreicht. Die Nutzung solcher Produkte bringt oftmals eine Übermittlung personenbezogener Daten in ein Drittland mit sich; Übermittlungen dieser Art sind seit Geltungsbeginn der Datenschutz-Grundverordnung allerdings strikt reglementiert (siehe im Einzelnen Art. 44 DSGVO).

Der Beitrag erläutert nach einem Hinweis zum Datenschutz-Sicherheitskonzept zunächst die aktuell bestehenden rechtlichen Rahmenbedingungen für eine Übermittlung personenbezogener Daten in ein Drittland auf Grundlage der Art. 44 ff. DSGVO. Sie zeigt ferner auf, welche Anforderungen an die Rechenschaftspflicht des Verantwortlichen zu stellen sind.

Verantwortliche sollten berücksichtigen, dass sich die Rechtsprechung und die Positionen der Datenschutz-Aufsichtsbehörden zu Fragen der Art. 44 ff. DSGVO zügig fortentwickeln. Daher sollte stets auf neue Entscheidungen und Veröffentlichungen geachtet werden.

2.2.1. Datenschutz-Sicherheitskonzept

Als eine vorbereitende Maßnahme sollte der Verantwortliche, der eine Office-Anwendung aus einem Drittland einsetzen möchte, stets ein Datenschutz-Sicherheitskonzept erstellen. Es sollte insbesondere auf die folgenden Fragen eingehen:

  • Welches Produkt soll in welcher IT-Umgebung eingesetzt werden?
  • Welche Kategorien personenbezogener Daten sollen mithilfe des Produkts verarbeitet werden?
  • Welche nachteiligen Folgen können sich daraus für die Vertraulichkeit, Verfügbarkeit und Integrität von personenbezogenen Daten ergeben? Wie sind diese Folgen und deren Eintrittswahrscheinlichkeiten zu bewerten und mit welchen Maßnahmen ist ihnen gegebenenfalls zu begegnen? Zur Beantwortung dieser Fragen kann zunächst auf den einschlägigen BSI-Standard zurückgegriffen werden.

2.2.2. Übermittlung personenbezogener Daten aufGrundlage von Art. 44 ff. DSGVO

Soweit eine Office-Anwendung eingesetzt werden soll, bei deren Nutzung personenbezogene Daten von Beschäftigten sowie Bürgerinnen und Bürgern in einen Staat außerhalb des Geltungsbereichs der Datenschutz-Grundverordnung übermittelt werden oder Stellen in einem solchen Staat eine Zugriffsmöglichkeit eröffnet wird, muss die Folgenbetrachtung auch die für solche Datentransfers einschlägigen gesetzlichen Vorgaben berücksichtigen. Die Bewertung nachteiliger Folgen für die Vertraulichkeit der personenbezogenen Daten wie auch die Implementierung von Maßnahmen zu ihrer Minimierung sind in diesem Fall durch die Art. 44 ff. DSGVO angeleitet.

Insbesondere ist die Zulässigkeit der Übermittlung von personenbezogenen Daten in das Drittland an den Art. 44 ff. DSGVO zu messen; die Vorschriften sollen sicherstellen, dass personenbezogene Daten nach Verlassen des räumlichen Geltungsbereichs der Datenschutz-Grundverordnung nicht in eine Verarbeitungsumgebung mit (signifikant) geringerem Datenschutzniveau geraten.

Grundlage der Übermittlung kann ein die Vergleichbarkeit des Datenschutzniveaus verbindlich feststellender, wirksamer Angemessenheitsbeschluss der Europäischen Kommission sein (Art. 45 Abs. 1 DSGVO). Für die USA, wo zahlreiche Anbieter von Office-Anwendungen beheimatet sind, liegt ein Angemessenheitsbeschluss gegenwärtig allerdings nicht vor. Die in Rede stehenden Übermittlungen können regelmäßig auch nicht auf die Ausnahmetatbestände gestützt werden, die Art. 49 Abs. 1 DSGVO für bestimmte Fälle vorsieht.

Vor diesem Hintergrund ist die Vergleichbarkeit des Datenschutzniveaus durch den Verantwortlichen und seinen Vertragspartner sicherzustellen, der als Datenempfänger fungieren soll. Dazu müssen geeignete Garantien vorgesehen sein und den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen (Art. 46 Abs. 1 DSGVO). Vorliegend kommen hierzu insbesondere Regelungen in Standarddatenschutzklauseln in Betracht (Art. 46 Abs. 2 Buchst. c DSGVO). Ein entsprechendes aktuelles Klauselwerk hat die Europäische Kommission im Sommer 2021 bereitgestellt.

Da das Klauselwerk grundsätzlich nicht die Heimatrechtsordnung des ausländischen Datenempfängers modifizieren kann, genügen der Verantwortliche und sein Vertragspartner jedoch den Anforderungen der Datenschutz-Grundverordnung nicht bereits dann, wenn sie die Geltung des Klauselwerks vereinbaren.

Geeignete Garantien im Sinne von Art. 46 Abs. 1 DSGVO werden nur vermittelt, wenn das Klauselwerk auch (tatsächlich) wirksam ist. Dazu bedarf es einer Betrachtung der Heimatrechtsordnung des ausländischen Datenempfängers. Der Europäische Datenschutzausschuss hat für diese Betrachtung ausführliche Hinweise veröffentlicht.

Soweit die Betrachtung der Heimatrechtsordnung des ausländischen Datenempfängers ergibt, dass das Klauselwerk dort nicht in vollem Umfang die beabsichtigte Wirkung zu entfalten vermag, ist eine Kompensation durch zusätzliche Maßnahmen zu prüfen. Dazu kann auch eine Verschlüsselung und/oder Pseudonymisierung zählen. Ist eine Kompensation nicht möglich, muss eine Übermittlung personenbezogener Daten an den ausländischen Datenempfänger unterbleiben.

Aus diesen grundsätzlichen Bemerkungen ergeben sich für den Einsatz konkreter Office-Anwendungen insbesondere die nachstehenden Konsequenzen:

  • Ausgangspunkt aller Überlegungen sollte ein Datenschutz-Sicherheitskonzept sein, das eine datenschutzrechtliche Folgenbetrachtung vornimmt.

    Das Datenschutz-Sicherheitskonzept muss klare Aussagen darüber enthalten, welche Kategorien personenbezogener Daten von Beschäftigten sowie Bürgerinnen und Bürgern (in einer Schule etwa also von Schülerinnen, Schülern, Eltern, Lehrkräften und sonstigem Schulpersonal) in ein Drittland übermittelt werden oder Zugriffen von dort ausgesetzt werden sollen.

    Bei der Folgenbetrachtung ist für die konkrete Office-Anwendung insbesondere die nachteilige Folge zu würdigen, dass Behörden aus einem Drittland auf personenbezogene Daten von Beschäftigten sowie Bürgerinnen und Bürgern Zugriff nehmen könnten (auch im Wege einer Anforderung zur Offenlegung von personenbezogenen Daten). Diese nachteilige Folge ist bereits dann zu berücksichtigen, wenn die Rechtsordnung des Drittlandes zugunsten dortiger Behörden in Bezug auf die zu übermittelnden personenbezogenen Daten Zugriffsbefugnisse vorsieht, die aus unionsrechtlicher Perspektive als unverhältnismäßig erscheinen. Die nachteilige Folge kann grundsätzlich nicht allein durch eine Wahrscheinlichkeitsbetrachtung ("bisher ist ja nichts passiert") auf Grundlage von Angaben des Vertragspartners relativiert werden.

  • Der Verantwortliche sollte das Rechtsverhältnis mit dem Vertragspartner in Ansehung von Datenübermittlungen in ein Drittland unter Einbezug der aktuellen Standarddatenschutzklauseln gestalten.

  • Bei der Prüfung der tatsächlichen Wirksamkeit des vereinbarten Klauselwerks sind hinsichtlich des Drittlands USA zumindest diejenigen Vorgaben des US-amerikanischen Rechts zu berücksichtigen, die der Europäische Gerichtshof in seiner "Schrems II"-Entscheidung angesprochen hat.

    Insofern dürfte nach der derzeitigen Auffassung des Bayerischen Landesbeauftragten für den Datenschutz die tatsächliche Wirksamkeit des vereinbarten Klauselwerks anzunehmen sein, wenn der Verantwortliche den Nachweis erbringt, dass die zu übermittelnden personenbezogenen Daten aus Rechtsgründen von vornherein nicht Gegenstand der betreffenden Zugriffsrechte US-amerikanischer Behörden werden können.

  • Lässt sich dieser Nachweis nicht führen, ist als Kompensation eine Verschlüsselung und/oder Pseudonymisierung der personenbezogenen Daten in Betracht zu ziehen. Der Verantwortliche muss in diesem Fall zudem den Nachweis erbringen, dass eine Aufhebung der Verschlüsselung und/oder Pseudonymisierung bei dem ausländischen Vertragspartner durch Behörden seines Heimatstaats ausgeschlossen werden kann.

    Bei der Bewertung der nachteiligen Folge einer Aufhebung der Verschlüsselung und/oder Pseudonymisierung, die im Rahmen des Datenschutz-Sicherheitskonzepts durchgeführt werden kann, sollten nicht nur die Erfahrungen, die der ausländische Vertragspartner mit Zugriffsersuchen durch Behörden seines Heimatstaats gemacht hat, sondern auch alle weiteren verfügbaren Informationen einbezogen werden. Entsprechendes gilt für die Bemessung kompensatorischer Maßnahmen, insbesondere für die Beantwortung der Frage, ob eine Verschlüsselung oder Pseudonymisierung ausreichend stark ist. Auch hier gilt: Dass "bisher nichts passiert ist", bedeutet nicht, dass diese Maßnahmen vernachlässigt werden dürfen.

  • Speziell beim Betrieb eines Videokonferenz-Systems fallen zumindest temporär Bild- und Tondateien an. Nach aktuellem Kenntnisstand ist eine ausreichend starke Verschlüsselung und/oder Pseudonymisierung insofern derzeit noch nicht möglich; dies gilt jedenfalls für typische Nutzungsszenarien im Schulbereich.

    Datenschutzrechtliche Bedenken betreffend eine Übermittlung in das Drittland USA können hier auch nicht dadurch ausgeräumt werden, dass auf eine dauerhafte Aufzeichnung verzichtet wird und/oder die Dateien physikalisch im Geltungsbereich der Datenschutz-Grundverordnung gespeichert werden. US-amerikanische Anbieter sind als in den USA ansässige Unternehmen Zugriffsrechten US-amerikanischer Behörden ausgesetzt; dies gilt insbesondere für Regelungen des US CLOUD Act. Entsprechenden Ersuchen kann allenfalls ausnahmsweise im Einklang mit der Datenschutz-Grundverordnung nachgekommen werden. Im Übrigen ist zu bedenken, dass gegebenenfalls Verkehrsdaten übermittelt werden, bei denen ein Personenbezug hergestellt werden kann.

  • Bei anderen Office-Anwendungen als Videokonferenz-Systemen kann eine ausreichend sicher gestaltete Pseudonymisierung insbesondere unter den folgenden Voraussetzungen in Betracht kommen:

    1. Angemessen starke Pseudonymisierungsmethode: Personenbezogene Daten werden so verarbeitet, dass sie ohne Hinzuziehung zusätzlicher Informationen weder einer spezifischen betroffenen Person zugeordnet noch dazu verwendet werden können, die betroffene Person in einer größeren Gruppe zu identifizieren. Zudem darf ein Abgleich mit sämtlichen Informationen, die Dritten zur Verfügung stehen, nicht dazu führen, dass die pseudonymisierten Daten identifizierten oder identifizierbaren natürlichen Personen zugeordnet werden können.
    2. Besonderer Schutz der Zuordnungsregeln: Die Zuordnung der pseudonymisierten Daten zu Identitätsinformationen ("Zuordnungsregeln", z. B. Datentabelle oder Formel) und damit die Re-Identifizierung darf nur durch den Verantwortlichen (beispielsweise: die Schule) oder einen Auftragsverarbeiter, der als Vertrauensinstanz agiert und auf den die Datenschutz-Grundverordnung anwendbar ist, möglich sein. Zudem müssen die Zuordnungsregeln grundsätzlich innerhalb der EU gehalten und einem angemessenen Schutz durch technische und organisatorische Maßnahmen gegen unbefugte Zugriffe, gegen unbefugte Veränderungen sowie gegen Störungen der erforderlichen Verfügbarkeit unterliegen.
    3. Stand der Technik: Das eingesetzte Pseudonymisierungsverfahren muss grundsätzlich dem Stand der Technik entsprechen. Die Wirksamkeit der Pseudonymisierung als datenschutzrechtliche Schutzmaßnahme muss durch bedarfsgerechte Überprüfungen durchgängig gewährleistet sein.
  • Entsprechend sind folgende Anforderungen an eine ausreichend sicher gestaltete Verschlüsselung zu stellen:

    • Angemessen starke Verschlüsselungsmethode: Der Verschlüsselungsalgorithmus und seine Parametrisierung (z. B. Schlüssellänge, Verschlüsselungsstärke, Betriebsmodus) müssen angemessen sein und den spezifischen Zeitraum berücksichtigen, für den die Vertraulichkeit der verschlüsselten personenbezogenen Daten sicherzustellen ist.
    • Besonderer Schutz der Schlüssel: Die Schlüssel müssen allein durch den Verantwortlichen (beispielsweise: die Schule) oder einen Auftragsverarbeiter, der als Vertrauensinstanz agiert und auf den die Datenschutz-Grundverordnung anwendbar ist, verwaltet und kontrolliert werden. Dadurch wird ein Zugriff auf unverschlüsselte Daten (Klardaten) durch unberechtigte Dritte mit Hilfe einer Ende-zu-Ende-Verschlüsselung ausgeschlossen. Zudem muss der Verschlüsselungsalgorithmus fehlerfrei durch ordnungsgemäß gepflegte Software implementiert sein, deren Konformität mit der Spezifikation des ausgewählten Algorithmus etwa durch Zertifizierung bestätigt wurde. Die Verschlüsselung muss - unter Berücksichtigung der zur Verfügung stehenden Ressourcen und technischen Möglichkeiten (z. B. Rechenleistung für Brute-Force-Angriffe) - Robustheit gegen eine eventuell durchgeführte Kryptoanalyse bieten. Ferner muss im Hinblick auf die Schlüssel, deren Generierung und Einsatz ein angemessener Schutz durch technische und organisatorische Maßnahmen gegen unbefugte Zugriffe, gegen unbefugte Veränderungen sowie gegen Störung der erforderlichen Verfügbarkeit bestehen.
    • Stand der Technik: Das eingesetzte Verschlüsselungsverfahren muss grundsätzlich dem Stand der Technik entsprechen. Die Wirksamkeit der Verschlüsselung als datenschutzrechtliche Schutzmaßnahme muss durch bedarfsgerechte Überprüfungen durchgängig gewährleistet sein.

2.2.3. Rechenschaftspflicht

Verantwortliche trifft nach Art. 5 Abs. 2 DSGVO eine Rechenschaftspflicht. Die Rechenschaftspflicht bezieht sich auch auf den Verarbeitungsgrundsatz "Rechtmäßigkeit" (Art. 5 Abs. 1 Buchst. a DSGVO). Sie gewährleistet, dass Verantwortliche ihre Überlegungen zu den rechtlichen Grundlagen einer Verarbeitung festhalten; für die Datenschutz-Aufsichtsbehörden werden diese Überlegungen so kontrollierbar. Im Rahmen der Rechenschaftspflicht müssen Verantwortliche, die Datentransfers in Drittstaaten durchführen möchten, auch dokumentieren, dass sie die durch Art. 44 ff. DSGVO geforderte, oben näher erläuterte Prüfung vorgenommen haben. Diese gesetzlichen Anforderungen haben Anteil an dem Regelungsgefüge, das die Rechtmäßigkeit einer Verarbeitung betrifft.

Was die Beachtung von Art. 44 ff. DSGVO angeht, orientiert der Bayerische Landesbeauftragte für den Datenschutz seine Kontrollen vorrangig an den Dokumentationen, welche die Verantwortlichen zur Erfüllung der Rechenschaftspflicht erstellen. Verantwortliche können daher nicht erwarten, dass ihnen die Datenschutz-Aufsichtsbehörde die Erfüllung der Rechenschaftspflicht abnimmt; sie können insbesondere nicht erwarten, dass die Datenschutz-Aufsichtsbehörde die Zulässigkeit durchgeführter Drittstaatentransfers würdigt, wenn keine oder keine ausreichenden Dokumentationen vorgelegt werden können.

Bei Drittstaatentransfers im Zusammenhang mit Office-Anwendungen - ausgenommen sind Videokonferenz-Systeme - akzeptiert der Bayerische Landesbeauftragte für den Datenschutz unter den oben dargelegten Anforderungen bis auf weiteres grundsätzlich auch Dokumentationen zur Erfüllung der Rechenschaftspflicht, die auf eine Prüfung der tatsächlichen Wirksamkeit von Klauselwerken verzichten. Vorausgesetzt ist dabei,

  • dass das vereinbarte Klauselwerk auf den aktuellen Standarddatenschutzklauseln beruht und von diesen nicht abweicht, sowie
  • dass der Verantwortliche eine ausreichend sicher gestaltete Verschlüsselung und/oder Pseudonymisierung vorsieht und anwendet.

2.3. Entgeltpflicht für Kontrollen bei der Auftragsverarbeitung?

Nach Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO hat eine Auftragsverarbeitungs-Vereinbarung vorzusehen, dass der Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung stellt und Überprüfungen - einschließlich Inspektionen -, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.

Seit der Datenschutzreform 2018 wird diskutiert, ob und inwieweit Auftragsverarbeitungs-Vereinbarungen für den Fall der Wahrnehmung von Kontrollrechten des Verantwortlichen - insbesondere im Fall einer Vor-Ort-Kontrolle - ein gesondertes Entgelt vorsehen können. Der Bayerische Landesbeauftragte für den Datenschutz hat den bayerischen öffentlichen Stellen empfohlen, sich für die Ausübung ihrer gesetzlichen Kontrollrechte nicht zu einem besonderen Entgelt verpflichten zu lassen (vgl. Aktuelle Kurz-Information 6 in der Fassung vom 1. August 2018).

Der Europäische Datenschutzausschuss hat im Juli 2021 nach öffentlicher Konsultation überarbeitete Leitlinien 7/2020 zu den Begriffen des Verantwortlichen und des Auftragsverarbeiters in der Datenschutz-Grundverordnung veröffentlicht, in welche zu der Frage einer Entgeltpflicht für Kontrollen bei der Auftragsverarbeitung die folgenden Erwägungen neu aufgenommen wurden:

"The issue of the allocation of costs between a controller and a processor concerning audits is not covered by the GDPR and is subject to commercial considerations. However, Article 28 (3)(h) requires that the contract include an obligation for the processor to make available all information necessary to the controller and an obligation to allow for and contribute to audits, including inspections, conducted by the controller or another auditor mandated by the controller. This means in practice that parties should not insert in the contract clauses envisaging the payment of costs or fees that would be clearly disproportionate or excessive, thus having a dissuasive effect on one of the parties. Such clauses would indeed imply that the rights and obligations set out in Article 28(3)(h) would never be exercised in practice and would become purely theoretical whereas they form an integral part of the data protection safeguards envisaged under Article 28 GDPR."

Der Europäische Datenschutzausschuss weist zutreffend darauf hin, dass die wirtschaftliche Gestaltung der Austauschbeziehung zwischen dem Verantwortlichen und dem Auftragsverarbeiter durch den Markt und nicht durch die Datenschutz-Grundverordnung reguliert wird. Dies bedeutet allerdings auch, dass es dem Verantwortlichen unbenommen ist, ihm unterbreitete Angebote von Auftragsverarbeitern auf ihre Datenschutzfreundlichkeit zu prüfen und diesen Gesichtspunkt bei der Auswahl des Vertragspartners zu berücksichtigen. Der Verantwortliche wird zudem entsprechende Vorgaben in einen Ausschreibungstext aufnehmen können, wenn die benötigte Leistung in einem Vergabeverfahren beschafft wird.

Der Europäische Datenschutzausschuss gibt ferner zu bedenken, dass Kosten oder Gebühren Maßnahmen des Verantwortlichen nach Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO behindern können. Der Bayerische Landesbeauftragte für den Datenschutz hat dieses Risiko bereits kurz nach der Datenschutzreform 2018 wie folgt beschrieben (Aktuelle Kurz-Information 6 in der Fassung vom 1. August 2018):

"Ein gesondertes Entgelt würde einer Ausübung der Kontrollrechte entgegenwirken. Die Vereinbarung eines Entgelts, einer Aufwandsentschädigung oder eines sonstigen Kostenbeitrags, auch die Vereinbarung, hierzu im Bedarfsfall nachträglich eine die Auftragsverarbeitungs-Vereinbarung ergänzende Regelung zu treffen, führt dazu, dass eine Inspektion beim Auftragsverarbeiter als etwas ‚Außergewöhnliches‘ wahrgenommen wird, das dem Auftraggeber ‚eigentlich‘ nicht zusteht und gerade deshalb außerhalb der wechselseitigen Austauschbeziehung zu vergüten ist. Davon abgesehen kann ein solches Entgelt entweder auf Grund seiner bereits erkennbaren (absoluten) Höhe oder der vertraglich angelegten Unklarheit seiner Berechnung abschreckende Wirkung entfalten."

Soweit ein Auftragsverarbeiter die Besorgnis hat, dass er durch Maßnahmen des Verantwortlichen nach Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO - insbesondere Vor-Ort-Kontrollen - Belastungen ausgesetzt wird, welche den vertraglichen Leistungsaustausch aus dem Gleichgewicht bringen, kann er den erwartbaren Mehraufwand bei der Berechnung der vom Verantwortlichen geforderten Hauptleistung pauschal berücksichtigen. Ergänzend kommen dabei insbesondere vertragliche Bestimmungen in Betracht, dass eine Vor-Ort-Kontrolle grundsätzlich mit einer bestimmten Frist anzukündigen ist, oder dass anlasslose Inspektionen mengenmäßig kontingentiert sind. Diese bislang empfohlene Vorgehensweise (vgl. Aktuelle Kurz-Information 6 in der Fassung vom 1. August 2018) steht nach Auffassung des Bayerischen Landesbeauftragten für den Datenschutz auch weiterhin mit Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO in Einklang.

Soweit die neu gefassten Leitlinien 7/2020 des Europäischen Datenschutzausschusses eine Vereinbarung separater, insbesondere nicht pauschalierter Entgelte für Maßnahmen des Verantwortlichen nach Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO nicht ausschließen, sollten die bayerischen öffentlichen Stellen insbesondere die folgenden Überlegungen berücksichtigen:

  • Ob eine Klausel für Maßnahmen nach Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO ein eindeutig unverhältnismäßiges oder überhöhtes Entgelt vorsieht, das auf den Verantwortlichen eine abschreckende Wirkung hat, ist stets in Anbetracht der Umstände des Einzelfalls zu würdigen.
  • Ein Fall eindeutiger Unverhältnismäßigkeit kann insbesondere vorliegen, wenn die während der Vertragsdauer für Maßnahmen nach Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO erwartbaren Kosten oder Gebühren die Gestalt der vom Verantwortlichen zu erbringenden Hauptleistung wesentlich verändern.
  • Ein eindeutig überhöhtes Entgelt kann insbesondere darauf beruhen, dass der tatsächliche Aufwand beim Auftragsverarbeiter zu den vereinbarten Kosten oder Gebühren in einem grob unangemessenen Verhältnis steht (so etwa bei "Phantasiepreisen" für den Einsatz personeller oder sachlicher Ressourcen oder bei der "Erfindung" von Kontrollgebühren, denen der Auftragsverarbeiter einen Aufwand nicht plausibel zuordnen kann).
  • Eine abschreckende Wirkung kann etwa dann in Betracht zu ziehen sein, wenn zu erwarten ist, dass der Verantwortliche Maßnahmen nach Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO auf Grund der Kostenbelastung nicht ohne Überwindung weiterer Hürden veranlassen kann. Das ist insbesondere dann der Fall, wenn bei einem kommunalen Träger nach den einschlägigen Vorschriften ein Gremienbeschluss zur Bewilligung außer- oder überplanmäßiger Ausgaben erforderlich wird.
  • Soweit bayerische öffentliche Stellen im Einzelfall separate, insbesondere nicht pauschalierte Entgelte für Maßnahmen nach Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO vereinbaren möchten, sollten sie vor diesem Hintergrund zum einen auf eine strikte Kostentransparenz achten. Dazu gehört neben einer Markterkundung insbesondere eine Aufwandsprognose. Bereits vor Vertragsschluss sollte zumindest überschlägig ermittelt werden, welche Mittel während der Vertragsdauer voraussichtlich für Maßnahmen nach Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO über die Hauptleistung hinaus bereitgestellt werden müssen. Diese Mittel sollten zum anderen in der haushaltsrechtlich angezeigten Form so eingeplant werden, dass der Verantwortliche im Bedarfsfall jederzeit darauf zugreifen kann, insbesondere eine (zusätzliche) Bewilligung nicht erforderlich ist. Im Übrigen sollten kommunale Träger bei Vertragsschlüssen, die der Zustimmung des kollegialen Hauptorgans bedürfen, auch insofern für Kostentransparenz sorgen
  1. Bundesamt für Sicherheit in der Informationstechnik, BSI-Standard 203-3. Risikoanalyse auf der Basis von IT-Grundschutz, Internet: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_3.html (externer Link). [Zurück]
  2. Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates, ABl. L 199 vom 7. Juni 2021, S. 31 ff. [Zurück]
  3. Vgl. Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder, Pressemitteilung vom 21. Juni 2021, Internet: https://www.datenschutzkonferenz-online.de/ (externer Link) pressemitteilungen.html. [Zurück]
  4. Europäischer Datenschutzausschuss, Recommendations 01/2020 vom 18. Juni 2021, Rn. 28 ff., Internet: https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en (externer Link). [Zurück]
  5. Recommendations 01/2020, Rn. 50 ff. [Zurück]
  6. Recommendations 01/2020, Rn. 54. [Zurück]
  7. Europäischer Gerichtshof, Urteil vom 16. Juli 2020, C-311/18, Rn. 177 ff. [Zurück]
  8. Vgl. näher Recommendations 01/2020, Annex 3. [Zurück]
  9. Zu diesem näher Europäischer Datenschutzausschuss/Europäischer Datenschutzbeauftragter, Joint Response to the LIBE Committee on the impact of the US Cloud Act on the European legal framework for personal data protection mit Annex vom 10. Juli 2019, Internet: https://edpb.europa.eu/our-work-tools/our-documents/letters/edpb-edps-joint-response-libe-committee-impact-us-cloud-act_en (externer Link). [Zurück]
  10. Zu den Anforderungen näher a. a. O. (Fußnote 18), Annex, S. 4 ff. [Zurück]
  11. European Data Protection Board, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, Version 2.0, Stand 7/2021, Rn. 145, Internet: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_de (externer Link). [Zurück]