Verträge zur Auftragsverarbeitung nach Art. 28 DSGVO sind ein wichtiger Standard und gehören datenschutzrechtlich gewissermaßen zum guten Ton, wenn ein Verantwortlicher einen Dienstleister für seine Zwecke einspannen möchte. Im Informationszeitalter sind sie angesichts „cloud-technischer“ Omnipräsenz Massenware und in mannigfaltiger Form anzutreffen. Es gibt zahlreiche Vorlagen und Muster, sowohl aus der Feder verschiedener Interessenverbände als auch von den Aufsichtsbehörden bereitgestellt. Auch Entwürfe aus eigener Schaffenskraft sind immer mal wieder in der Beratungspraxis anzutreffen.

Verträge Marke Eigenbau und das leichte Grummeln im Bauch

Nun sind „handgestrickte Verträge“ nicht unbedingt schlechter als andere; aber in einigen Fällen zumindest – sagen wir mal – kreativer. Von besonderer Kreativität seines Schöpfers kündete ein Exemplar, welches kürzlich die fachliche Runde machte.

Der besagte Auftragsverarbeitungs(AV)-Vertrag enthielt eine Bestimmung, nach der

(a) ein Vertrag in aller Regel nach dem Muster des Anbieters (= Auftragsverarbeiters) zustande kommen solle, und,

(b) falls der Verantwortliche (ausnahmsweise) einen eigenen Vertrag vorlegen und zum Inhalt machen wolle, eine extra „Prüfgebühr“ von mehreren tausend (!) US-Dollar veranschlagt wird, weil in diesem Fall der fremdartige Vertrag externen, spezialisierten Anwälten zur Prüfung vorgelegt werden müsse.

Gegen Punkt a) ist prinzipiell nicht viel einzuwenden, außer, dass man als Verantwortlicher sich häufig in der Position „nimm hin und werd’ glücklich“ (noch drastischer formuliert: friss oder stirb) befindet. Bei Punkt b) kann sich aber ein ebenso leichtes wie undefinierbares Grummeln in der Magengegend einstellen – irgendetwas schmeckt einem dabei nicht.

Gut, man muss ja nicht zwingend einen eigenen Vertrag vorlegen – irgendeiner genügt ja schließlich, wenns denn in der Praxis funktioniert (was, wie wir berichteten, auch gelegentlich hakelig werden kann). Aber trotzdem kommt es einem seltsam vor.

Kennt die DSGVO das Merkmal der „Zuverlässigkeit“ überhaupt?

Dass allein mag jedoch zur begründeten Ablehnung eines solchen Dienstleisters bzw. seines AV-Vertrags nicht recht genügen. Schließlich ist im Prüfkatalog des Art. 28 Abs. 3 DSGVO von keinerlei Bauchgefühl die Rede, weder im positiven (durch Absenz glänzenden) noch im negativen (durch Bestehen eben dessen) Sinne. Manch arrivierter Datenschützer mag da spontan an das u. a. aus dem Gewerberecht bekannte Merkmal der Zuverlässigkeit als Voraussetzung denken. Sie wird andernorts herangezogen, um zu beurteilen, wer etwa eine Gaststätte eröffnen, ein Spielcasino betreiben oder eine Schusswaffe mit sich führen darf.

Zugegeben, ein IT-Dienstleister ist schwerlich vergleichbar mit dem Eigner eines Jagdgewehrs. Aber die oben skizzierte Vertragsklausel könnte – im übertragenen Sinne – doch vielleicht an juristisches Roulette erinnern und wäre damit dem Gedanken an ein Casino artverwandt, oder?

Zuverlässig meint etwas anderes als (nur) pünktlich zur Arbeit zu erscheinen …

Der verehrten Leserschaft sei auch hier erneut ein mittelschweres Stirnrunzeln zugestanden; so recht mag auch diese – etwas weiter zugereiste – Analogie nicht greifen. Stattdessen erleichtert mal wieder ein Blick ins Gesetz die Rechtsfindung: In Art. 28 Abs. 1 DSGVO ist die Rede davon, dass Auftragsverarbeiter „hinreichend Garantien dafür bieten [müssen], dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt“.

Der Knackpunkt an „windigen“ Vertragsklauseln

Sollte nun der idealtypische Fall vorliegen, dass der im obigen Beispiel vorgelegte Mustervertrag zu 100 Prozent nicht nur den Bedürfnissen des Anbieters, sondern auch des Verantwortlichen (= Auftraggebers) genügt, wäre der hier ersichtliche Artikel schon gar nicht entstanden. Denn es kommt natürlich mal wieder a) anders und b) als man denkt, weshalb der Vertrag – beinahe selbstverständlich – genügend Diskussionsstoff bietet (oder erneut drastischer: eine ganze Reihe Mängel und Defizite). Kurzum: Er genügt nicht mehr in vertretbarer Art und Weise den datenschutzrechtlichen Anforderungen.

Nun könnten freilich all diejenigen sich zurücklehnen, welche solch „juristische Wortklauberei“ auch sonst gerne genüsslich belächeln und sich – entweder mangels Expertise oder größtmöglicher Bequemlichkeit sich verpflichtet fühlend – einen solchen Vertrag mehr oder weniger unbesehen „durchwinken“: Da kräht doch später kein Hahn nach!

Für den Augenblick mag das – abgesehen von der eigenen Geschäftsleitung, welche auf das zumindest bewusst fahrlässige, wenn nicht gar dezent vorsätzliche Eingehen von Gesetzesverstößen i. d. R. schlecht zu sprechen sein dürfte – durchaus zutreffend sein. Aber das ist ja schließlich nicht Sinn und Zweck der Übung; jedenfalls stellt ein (im Ergebnis) sich aufs Geratewohl Hindurchmogeln, soweit dem Autor bekannt, keinen der in Art. 5 DSGVO festgeschriebenen Grundsätze dar.

Den Stein des Anstoßes am Hasen im Pfeffer vorbei ins Rollen gebracht: ein Fazit

Wer jedoch in Anerkennung der zuvor zitierten Grundfeste des vertraglichen Datenschutzes Wert auf ein funktionierendes Pflichtengefüge legt, dem sei folgende Überlegung sich anzueignen dargereicht.

Unter organisatorischen Maßnahmen im Sinne des Art. 28 Abs. 1 DSGVO kann man zum einen (auch) an sich ein praktikables Vertragsmanagement zählen sowie die Bereitschaft, über Unklarheiten in Verhandlungen einzutreten, und zwar kostenneutral. Wer einzig und allein auf das Durchsetzen der eigenen – möglicherweise unsinnigen – Rechtsansichten zu pochen imstande ist, muss sich die Frage gefallen lassen, ob er sich am freien Markt wohl gut aufgehoben fühlt.

Zum anderen darf zumindest die datenschutzrechtliche Fachkenntnis eines solchen Dienstleisters erheblich in Zweifel gezogen werden, sofern sich dieser ausschließlich mittels auf Extrakosten zu konsultierender Beratungskapazitäten von extern behelfen kann; ein Gebaren, welches im Übrigen den Eindruck vermittelt, das Thema Datenschutz sei von Grund auf etwas derart Außergewöhnliches und mit dem eigenen regulären Geschäftsbetrieb ganz offenkundig Unvereinbares, dass jegliche Abkehr vom einst eingerichteten Schema als unverhältnismäßig gelten muss. Überdies könnte ein solches Verhalten – im Geltungsbereich neben der DSGVO – auch zivilrechtlich nach den Grundsätzen des AGB-Rechts (vgl. §§ 305 ff. BGB) relevant, d. h. unwirksam, sein.

Wer von vornherein faktisch (d. h. durch Aufbauen unverhältnismäßiger wie sachlich ungerechtfertigter finanzieller Hürden) die Bereitschaft ausschließt, etwaig bestehende vertragliche Lücken im Konfliktfall auszubessern, der kann infolgedessen keine Gewähr dafür bieten, eine Verarbeitung im Einklang mit den Grundsätzen der DSGVO – auch und gerade nach Art. 28 DSGVO – herzustellen.

| | | , , , , , , , , | 1 Kommentar