Auch fast fünf Jahre nach Inkrafttreten der DSGVO kommt es in einigen Fällen nach wie vor zu folgender Situation: Dienstleister, die mit der Verarbeitung von personenbezogenen Daten beauftragt wurden bzw. werden sollen, zeigen keine Reaktion auf Anfragen zum Abschluss, zur Überarbeitung oder zur Aktualisierung eines Auftragsverarbeitungsvertrags. Datenschutzrechtlich Verantwortliche stellt dies wiederum vor große Herausforderungen. Auf der einen Seite ist der Einsatz des entsprechenden Dienstleisters gewünscht oder findet ggf. sogar schon statt. Auf der anderen Seite schreibt Art. 28 Abs. 3 S. 2 DSGVO vor, dass „die Verarbeitung durch einen Auftragsverarbeiter […] auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht der Mitgliedstaaten“ zu erfolgen hat, „der bzw. das den Auftragsverarbeiter in Bezug auf den Verantwortlichen bindet […]“.

Ist jedoch nur der Verantwortliche bzw. Auftraggeber zu einer solchen Vereinbarung gewillt, rückt der Abschluss in weite Ferne. Daraus ergibt sich die Frage, welche Spielräume für den Verantwortlichen bestehen, wenn sich der Dienstleister beharrlich weigert, dem Drängen auf eine solche Vereinbarung nachzugeben.

Strategien zum Erreichen eines Vertragsabschlusses

Zunächst ist festzuhalten, dass es grundsätzlich auch im Interesse des Dienstleisters bzw. Auftragnehmers ist, einen Vertrag zur Auftragsverarbeitung abzuschließen. Denn wenn die Auftragsverarbeitung trotz nicht existierendem Vertrag durchgeführt wird, missachten beide Seiten – sowohl Verantwortlicher als auch Auftragsverarbeiter – die ihnen obliegenden Verpflichtungen aus der DSGVO. Dies stellt einen Pflichtverstoß dar, der durch die Datenschutzaufsichtsbehörden auch mit einem Bußgeld geahndet werden kann (Art. 83 Abs. 4 lit. a DSGVO). Sofern eine Anfrage zum Abschluss eines Vertrags zur Auftragsverarbeitung keine Reaktion seitens des Dienstleisters hervorruft, sind Verantwortliche gut beraten, noch einmal zu betonen, dass es sich um ein (beidseitiges) rechtliches Erfordernis handelt und die Vereinbarung daher zum Besten aller Beteiligten ist.

Proaktivität ist gefordert: der Fall Kolibri Images

Dabei ist es nicht nur hilfreich, sondern auch geboten, den Datenschutzbeauftragten einzubinden. Des Weiteren ist es ratsam, dem Dienstleister bereits einen Vertragsentwurf zur Prüfung zu kommen zu lassen. An dieser Stelle sei an das Bußgeld erinnert, das von der Datenschutzaufsichtsbehörde in Hamburg im Jahr 2018 gegen das Unternehmen Kolibri Images verhängt wurde (wir berichteten). Das Versandunternehmen hatte sich zunächst proaktiv an die hessische Aufsichtsbehörde gewandt und ausgeführt, dass ein von ihm eingesetzter spanischer Dienstleister trotz mehrmaliger Aufforderung keinen Entwurf für einen Vertrag zur Auftragsverarbeitung übersende. Nachdem sich Kolibri Images weigerte, trotz Aufforderung der Behörden einen eigenen Vertragsentwurf an den Dienstleister zu schicken, wurde die Angelegenheit an die zuständige Behörde in Hamburg abgegeben. Diese verfasste daraufhin einen Bußgeldbescheid gegen Kolibri Images in Höhe von 5.000 Euro wegen des Fehlens eines Auftragsverarbeitungsvertrags mit dem entsprechenden Dienstleister.

Wenn Argumente nichts mehr nützen

Auch wenn dieser Bußgeldbescheid später zurückgenommen wurde, so zeigt der Fall doch, dass die Aufsichtsbehörden in Bezug auf den Abschluss von Auftragsverarbeitungsverträgen Engagement fordern. Dennoch können Dienstleister – auch mit guten Argumenten – nicht „gezwungen“ werden, einen Auftragsverarbeitungsvertrag mit dem Verantwortlichen abzuschließen. Sofern die Darlegung der datenschutzrechtlichen Situation und die proaktive Versendung eines Vertragsentwurfs keine Wirkung zeigen, sollten sich Verantwortliche im nächsten Schritt überlegen, zu „drastischeren“ Mitteln zu greifen und mit einer anderweitigen Vergabe des Auftrags oder einer Kündigung drohen, wenn der Auftragsverarbeitungsvertrag nicht innerhalb einer vorher definierten Frist zustande kommt. Falls dies ebenfalls keinen Effekt erzielt, wäre von der weiteren Inanspruchnahme der Dienstleistung ohne Auftragsverarbeitungsvertrag – aufgrund des Verstoßes gegen die Vorschriften aus der DSGVO und des daraus resultierenden Bußgeldrisikos – ohnehin nur abzuraten.

Was kann daraus gelernt werden?

Verantwortliche sollten bereits bei der Auswahl von Dienstleistern, die Zugriff auf personenbezogene Daten erhalten sollen, den Datenschutz mitdenken und die Bereitschaft zum Abschluss eines Vertrags zur Auftragsverarbeitung zum Kriterium für eine Beauftragung machen. Sofern Dienstleister (entgegen der gesetzlichen Vorschriften) bereits ohne Vertrag im Einsatz sind, können nur noch die beschriebenen Schritte ergriffen und als letztes Mittel eine Trennung vom jeweiligen Dienstleister eingeleitet werden, wenn dieser kein Entgegenkommen zeigt.