Auftragsverarbeitung und Kontrollrechte: Gestaltungsspielraum und Grenzen

Die Kontrolle von Auftragsverarbeitern ist ein essenzieller Bestandteil der datenschutzrechtlichen Verantwortlichkeit eines Verantwortlichen. Der Gestaltungsspielraum bei der Umsetzung dieser Kontrollrechte bietet jedoch Raum für Diskussionen, insbesondere hinsichtlich möglicher Einschränkungen und der Kostenregelung.

1. Gesetzliche Grundlagen der Dienstleisterkontrolle

Nach Art. 28 Abs. 3 lit. h DSGVO muss der Auftragsverarbeitungsvertrag (AVV) festlegen, dass der Auftragsverarbeiter:

- alle erforderlichen Informationen zur Verfügung stellt, um die Einhaltung der DSGVO nachzuweisen,

- Überprüfungen und Inspektionen durch den Verantwortlichen oder einen beauftragten Prüfer ermöglicht,

- aktiv zur Durchführung dieser Kontrollen beiträgt.

Diese Regelung unterstreicht die Pflicht des Auftragsverarbeiters zur Transparenz und Zusammenarbeit, um den Verantwortlichen in die Lage zu versetzen, seinen datenschutzrechtlichen Verpflichtungen nachzukommen.

2. Umsetzung der Kontrollrechte in der Praxis

Das Gesetz gibt keine starren Vorgaben, wie eine Kontrolle aussehen muss. Dies eröffnet den Parteien einen gewissen Gestaltungsspielraum, wobei die Kontrolle in der Praxis auf unterschiedliche Weise erfolgen kann:

- Fragebögen oder Selbstauskünfte des Auftragsverarbeiters,

- Prüfberichte oder Zertifizierungen (z. B. nach ISO 27001),

- Vor-Ort-Inspektionen, wenn andere Nachweise nicht ausreichen.

Die Kontrolle muss flexibel an die jeweiligen Risiken und die Sensibilität der verarbeiteten Daten angepasst werden.

3. Typische Einschränkungen des Kontrollrechts

In der Praxis finden sich häufig Einschränkungen der Kontrollmöglichkeiten, die sich meist auf folgende Punkte beziehen:

- Keine Störung des Betriebsablaufs,

- Kontrollen nur während der Geschäftszeiten,

- Voranmeldung der Prüfungen,

- Einschränkung der Häufigkeit (z. B. maximal einmal jährlich),

- Ausschluss von Prüfern, die in einem Wettbewerbsverhältnis zum Auftragsverarbeiter stehen.

Solche Einschränkungen sollen den operativen Betrieb des Auftragsverarbeiters schützen und übermäßige Belastungen vermeiden.

4. Zulässigkeit von Einschränkungen

Einschränkungen, die als unzulässig gelten könnten:

- Kompletter Ausschluss von Vor-Ort-Inspektionen: Dies würde gegen den Wortlaut des Art. 28 DSGVO verstoßen, der explizit Inspektionen vorsieht.

- Übermäßige Einschränkungen der Kontrolle: Klauseln, die die Kontrollmöglichkeiten des Verantwortlichen faktisch unmöglich machen, dürften unzulässig sein.

Zulässige Einschränkungen:

- Regelungen zur Wahrung des Betriebsablaufs, wie die Begrenzung auf Geschäftszeiten oder das Erfordernis einer Voranmeldung, könnten in einem ausgewogenen Verhältnis zwischen Kontrolle und Betriebsinteressen stehen.

Der Europäische Datenschutzausschuss (EDSA) hat in seinen Leitlinien 07/2020 betont, dass Einschränkungen zwar möglich, jedoch nicht so weitreichend sein dürfen, dass sie die Effektivität der Kontrollrechte beeinträchtigen.

5. Kostenregelung für Dienstleisterkontrollen

Oftmals enthalten AVVs Klauseln, die dem Verantwortlichen die Kosten für Kontrollen auferlegen. Diese Klauseln werfen die Frage auf, ob sie den Kontrollpflichten des Verantwortlichen entgegenstehen.

Rechtliche Einordnung:

- Der EDSA sieht die Kostenverteilung als wirtschaftliche Frage zwischen den Parteien. Die DSGVO selbst regelt diesen Aspekt nicht.

- Klauseln, die eine unangemessen hohe Vergütung für Kontrollen vorsehen, könnten jedoch faktisch abschreckend wirken und wären daher kritisch zu betrachten.

In Deutschland hat sich der BayLfD hierzu geäußert und bestätigt, dass angemessene Vergütungen zulässig sind, solange sie die Kontrollrechte nicht unverhältnismäßig einschränken. Eine mögliche Lösung könnte sein, eine begrenzte Anzahl kostenfreier Kontrollen zu ermöglichen und erst darüber hinausgehende Prüfungen zu vergüten.

6. Auswirkungen auf die Praxis

Risikobewertung und unternehmerische Entscheidung

Die Gestaltung des AVVs und die Verhandlung von Kontrollklauseln hängen stark von der Verhandlungsmacht der Parteien ab. Insbesondere große Dienstleister setzen oft auf standardisierte Klauseln, die eine Vor-Ort-Prüfung zur Ausnahme machen. Verantwortliche sollten dabei stets das Risiko abwägen:

- Vertrauen auf Zertifizierungen und Prüfberichte bietet eine praktische, aber nicht immer ausreichende Lösung.

- Vor-Ort-Kontrollen bleiben ein wichtiges Instrument, insbesondere bei hohen Datenschutzrisiken.

Seltenheit von Dienstleisterkontrollen

In der Praxis werden solche Kontrollen häufig nur bei konkreten Anlässen durchgeführt. Dennoch sollten Unternehmen vorbereitet sein, da Aufsichtsbehörden zunehmend darauf achten, ob Verantwortliche ihren Kontrollpflichten nachkommen.

Fazit

Die Gestaltung der Kontrollrechte in Auftragsverarbeitungsverträgen erfordert ein ausgewogenes Verhältnis zwischen der Wahrung der Rechte des Verantwortlichen und den berechtigten Interessen des Auftragsverarbeiters. Während gewisse Einschränkungen zulässig sind, dürfen sie die Effektivität der Kontrolle nicht untergraben. Die Kostenfrage sollte fair geregelt werden, um den Verantwortlichen nicht von seinen Kontrollpflichten abzuschrecken. Verantwortliche sollten bei der Vertragsgestaltung ein besonderes Augenmerk auf diese Punkte legen, um ihren datenschutzrechtlichen Verpflichtungen nachkommen zu können.

Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz