Dem einen oder anderen, der schon einmal einen Auftragsverarbeitungsvertrag in der Hand hatte, sind mit Sicherheit schon Klauseln aufgefallen, die eine Kostentragungspflicht für Kontrollen durch den Verantwortlichen vorsehen.
Hier stellt sich natürlich unweigerlich die (datenschutzrechtliche) Frage:
Darf man das?
Das Gesetz sieht für derartige Kontrollen nämlich keine gesonderte Vergütung vor. Hier heißt es lediglich in Art. 28 Abs. 3 S. 2 lit. h) DSGVO, dass der Auftragsverarbeiter dem Verantwortlichen alle Informationen, die zur Einhaltung der gesetzlich normierten Pflichten notwendig sind, zur Verfügung stellt. Inspektionen, unter die beispielsweise Vor-Ort-Kontrollen fallen, werden hier explizit genannt. Man könnte jetzt natürlich der Meinung sein, dass der Auftragsverarbeiter hier benachteiligt ist. Kontrollen binden Kapazitäten vor Ort. Vielleicht wird der Betriebsablauf gestört. Das alles kann natürlich Kosten für den Auftragsverarbeiter verursachen. So logisch es erscheint, die entstandenen Kosten auf den Verantwortlichen zu übertragen, er hat diese ja schließlich verursacht, gibt es genauso gute Argumente gegen Kontrollen gegen Entgelt. Diese Argumente liefert der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) in einer Kurz-Information und führt aus, warum keine gesonderte Entgeltpflicht für Kontrollen bei der Auftragsverarbeitung vereinbart werden darf (Der BayLfD ist nur für den öffentlichen Bereich in Bayern zuständig). Ein Kernargument ist natürlich, dass der Auftraggeber weiterhin verantwortlich bleibt und auch gegenüber den betroffenen Personen für die Datenverarbeitung einzustehen hat. Der Verantwortliche hat dabei nicht nur das Recht, sondern auch die Pflicht, den Auftragsverarbeiter zu kontrollieren. Ein Entgelt kann dabei wie ein Hemmnis wirken, welches dazu führt, dass besagte Kontrollrechte nicht wahrgenommen werden. Die Frage ist natürlich, wie der BayLfD die oben genannte Problematik löst. Einfacher gesagt:
Bleibt der Auftragsverarbeiter auf seinen (Mehr)-Kosten sitzen?
Hier schlägt der BayLfd vor, die etwaigen Mehrkosten vorab in sein Angebot einzupreisen. Grundsätzlich spricht hier natürlich nichts dagegen. Abhilfe schafft dies aber nicht, wenn durch die Kontrollen unerwartet hohe Belastungen anfallen, die vorher nicht absehbar waren. Auch wird der „vorsichtige“ Auftragsverarbeiter, der mehr vorab in sein Angebot einpreist, im Nachteil zu Konkurrenten sein, die diesen „Sicherheits-Zuschlag“ für Kontrollen nicht realisiert haben.
Die Frage wird uns in Zukunft noch öfters begegnen. Es bleibt abzuwarten, ob und wie sich die Aufsichtsbehörden der anderen Länder dazu positionieren werden.
Auftragsverarbeitung: Wer trägt die Kosten für Kontrollen? | Steiger Legal
13. August 2018 @ 13:17
[…] (Auch via «datenschutz notizen».) […]
RA Michael Seidlitz
8. August 2018 @ 14:27
Hat man dort schon einmal anders gesehen:
BayLDA
GDD, DatenschutzNewsbox 10/2016
Seite 8
„Kostenverteilung für Vor-Ort-Kontrollen bei ADV
Frage:
Darf der Dienstleister hierzu den Aufwand, der für ihn durch die Vor-Ort-Prüfung durch das Zur-Verfügungstellen von Personal entsteht, dem Auftraggeber in Rechnung stellen (auch wenn dies vertraglich nicht explizit geregelt wurde)?
Antwort BayLDA:
Hierzu können wir nichts sagen. Das ist keine datenschutzrechtliche, sondern eine zivilrechtliche Streitfrage zur Auslegung eines Vertrags für nicht konkret geregelte Sachverhalte (Kernfrage: Was ist dem Auftragnehmer an Aufwand entschädigungslos zumutbar, damit der Auftraggeber seine BDSG-Kontrollpflichten erfüllen kann, und ab wann besteht ein unzumutbarer Aufwand, für den der Auftragnehmer einen angemessenen Aufwand-Ersatz verlangen kann?). Am besten ist natürlich eine Festlegung im Vertrag dazu.“
https://www.datakontext.com/media/pdf/4f/e2/89/Newsbox_10_2016.pdf
Anonymous
8. August 2018 @ 13:19
Kann der BayLfD gerne meinen, am Ende werden das Gerichte entscheiden. Die Behörden sollen sich lieber mal um die ausstehende Akkreditierung von Zertifizierungsstellen bemühen.