Gemeinsam mit den Datenschutzaufsichtsbehörden aus Niedersachsen, Rheinland-Pfalz, Sachsen, Sachsen-Anhalt und Bayern prüft die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) derzeit Auftragsverarbeitungsverträge von Webhostern. Zu diesem Zweck wurde eine entsprechende AVV-Checkliste unter den teilnehmenden Aufsichtsbehörden abgestimmt und veröffentlicht.
Hintergrund
Viele datenschutzrechtlich Verantwortliche hosten ihre Webauftritte nicht selbst über eigene Server, sondern über einen externen Dienstleister (Webhoster). Werden personenbezogene Daten der Webseitenbesucher verarbeitet, geschieht dies in der Regel auf Weisung des verantwortlichen Webseitenbetreibers und im Rahmen einer Auftragsverarbeitung. Die datenschutzrechtlichen Voraussetzungen für ein solches Szenario und den erforderlichen Auftragsverarbeitungsvertrag werden gesetzlich in Art. 28 DSGVO festgelegt.
Nach eigenen Aussagen haben sich die Aufsichtsbehörden trotz der klaren gesetzlichen Vorgaben regelmäßig mit der Problematik zu befassen, dass die von Webhostern bereitgestellten Auftragsverarbeitungsverträge (AVV) nicht den Anforderungen der DSGVO entsprechen. Die nun bereitgestellte Checkliste soll Verantwortliche und Webhoster beim Abschluss rechtskonformer Auftragsverarbeitungsverträge unterstützen.
Inhalt der Checkliste
Die Checkliste bildet in tabellarischer Form die einzelnen Prüfthemen bzw. Anforderungen an den AVV unter Nennung der jeweiligen DSGVO-Norm ab. Ob und unter welchen Bedingungen die Anforderungen erfüllt bzw. nicht erfüllt werden, wird anhand von Checkboxen abgebildet.
Einige der hier abgeprüften Themen und Streitpunkte dazu sind aus der Beratungspraxis seit langem bekannt. Umso erfreulicher ist daher, dass anhand der Checkliste nun eine eindeutige Aussage (zumindest nach Ansicht der oben genannten Aufsichtsbehörden) zur Zulässigkeit der einzelnen Regelungen getroffen und im Rahmen einer eventuellen Vertragsverhandlung angeführt werden kann.
Nennenswert aus der Checkliste sind insbesondere folgende Punkte:
Zunächst kann der Abschluss eines Auftragsverarbeitungsvertrags nach Ansicht der vorgenannten Aufsichtsbehörden auch als Teil der Allgemeinen Geschäftsbedingungen (AGB) erfolgen.
Art. 28 Abs. 9 DSGVO schreibt vor, dass der Auftragsverarbeitungsvertrag schriftlich oder in elektronischer Form abzufassen ist. Verweist der Auftragsverarbeitungsvertrag dann im Hinblick auf Pflichtangaben, wie den Verarbeitungsgegenstand, die Dauer, die Datenarten und Kategorien betroffener Personen auf weitere Dokumente (z. B. einen Hauptvertrag), ist dies zulässig, sofern das betreffende Dokument formgerecht beigefügt ist und ausreichende Angaben zu den entsprechenden Pflichtangaben enthält. Es sollte daher aus Gründen der Nachweisbarkeit ein datierter und geschlossener Vertrag vorliegen.
Ein häufiges Streitthema im Rahmen des AVV ist der Umgang mit Kostentragungsklauseln im Rahmen von Kontrollmaßnahmen und Unterstützungspflichten. Ausweislich der Checkliste sind die gesetzlichen Anforderungen an die Vereinbarung von Kontrollrechten zu Gunsten des Auftraggebers nicht erfüllt, wenn eine allgemeine Kostentragungspflicht seitens des Auftraggebers vorgesehen wird und diese keine Ausnahme für erforderliche Kontrollen oder Unterstützungsleistungen vorsieht. Diese Ansicht ist positiv zu werten, da sie zum einen die wirtschaftlichen Interessen der zur Duldung der Kontrolle oder Unterstützung verpflichteten Partei berücksichtigt und zum anderen die Gefahr beseitigt, dass sich der Auftraggeber aufgrund finanzieller Repressalien an der Ausübung seiner gesetzlich normierten Rechte gehemmt fühlt oder selbige auf beiden Seiten nicht umgesetzt werden.
Darüber hinaus müssen ausweislich der Checkliste die konkreten technischen und organisatorischen Maßnahmen (TOMs) nach Art. 28 Abs. 3 S. 1 lit. c DSGVO nicht im Auftragsverarbeitungsvertrag selbst geregelt werden. Stattdessen reicht ein Hinweis auf die Einhaltung der nach Art. 32 DSGVO erforderlichen Maßnahmen oder der Verweis auf eine konkrete und aktuell ausreichende Liste technisch-organisatorischer Maßnahmen aus, sofern der Auftragnehmer gleichzeitig zur dynamischen Anpassung der getroffenen Maßnahmen verpflichtet wird. Wichtig ist hierbei aber, dass dies den Auftraggeber nicht von der Verpflichtung befreit, die Maßnahmen jedenfalls vor Beginn der Verarbeitung zu prüfen und die Maßnahmen selbst sowie die Tatsache, dass diese für die konkrete Verarbeitung den Anforderungen des Art. 32 DSGVO entsprechen, nachzuweisen. Daher sollte bereits aus Gründen der Rechtssicherheit der Status Quo der TOMs bei Vertragsbeginn vertraglich festgehalten werden.
Die Checkliste bietet somit einen guten Überblick über bislang streitig diskutierte Regelungen eines Auftragsverarbeitungsvertrages und hilfreiche Argumente für bzw. gegen gewisse Vertragsklauseln. Und auch wenn die Checkliste im Zusammenhang mit der Prüfung von Auftragsverarbeitungsverträgen von Webhostern entwickelt wurde, so weist die BlnBDI darauf hin, dass die Checkliste auch als Standard für die AVV-Prüfung in anderen Bereichen angewendet werden könne. Spannend bleibt nun die Frage, ob und wie andere Aufsichtsbehörden sich dieser abgestimmten Rechtsauffassung anschließen.