Die DSGVO schreibt sowohl für den Verantwortlichen bzw. Auftragsverarbeiter als auch für die betroffene Person umfassende Pflichten und Rechte vor. Mit dem – in der Praxis oftmals weit ausgelegten – Auskunftsanspruch nach Art. 15 DSGVO kann die von einer Datenverarbeitung betroffene Person beispielsweise eine Kopie der sie betreffenden Daten verlangen. Allein dies stellt Unternehmen häufig vor riesige Herausforderungen und kann zu hunderten von Seiten führen, die gesichtet, kopiert oder eingescannt werden müssen.
Doch die DSGVO sieht kein Recht vor, wonach die betroffene Person die Vorlage und Einsicht in den Vertrag über die Auftragsverarbeitung verlangen kann, die der Verantwortliche mit dem Dienstleister geschlossen hat. Folglich soll die betroffene Person auch nicht diesen Datenschutzvertrag prüfen dürfen. Dies bestätigte der bayerische Verwaltungsgerichtshof in München jüngst mit einem Beschluss (VGH München, Beschluss v. 21.02.2025, Az.: 7 ZB 24.651).
Kläger fordert Einsicht in AV-Vertrag
In dem der Entscheidung zugrunde liegenden Fall klagte die betroffene Person gegen den Bayerischen Rundfunk, der ein Inkassounternehmen mit dem Eintreiben der offenen Forderungen (Rundfunkbeiträge) als Auftragsverarbeiter im Sinne von Art. 28 DSGVO beauftragt hatte. Der Kläger forderte die Einsicht in diesen AV-Vertrag, was der Bayerische Rundfunk bereits zuvor auch bei dem vorangegangenen Antrag abgelehnt hatte. Das Gericht in erster Instanz (VG München) wies diese Klage Ende 2023 ab. Nun bestätigte auch das Gericht in der Berufung vor wenigen Wochen dieses Ergebnis.
Ungeachtet eines speziellen Anspruchs nach § 11 Abs. 8 Satz 1 RBStV, der bereits diese Einsichtnahme des AV-Vertrages nicht vorsieht, ergebe sich nach Auffassung des Gerichts ein solches Recht für die betroffene Person auch nicht aus der DSGVO. Selbst ein berechtigtes Interesse des Klägers diesbezüglich verneinte das Gericht.
Das Gericht stellt hierzu recht eindeutig und zutreffend fest:
„Ein berechtigtes Interesse des Klägers an der Einsichtnahme in den zwischen dem Beklagten und der P. GmbH gemäß Art. 28 DS-GVO geschlossen Auftragsverarbeitungsvertrag besteht nicht. Ein solches ergibt sich insbesondere nicht – wie der Kläger meint – daraus, dass er selbst in der Lage sein müsse, zu überprüfen, ob ein „wirksamer Auftragsverarbeitungsvertrag“ mit dem nach Art. 28 Abs. 3 DS-GVO „vorgeschriebenen Inhalt“ tatsächlich geschlossen wurde. Denn für die Überwachung der Anwendung der Datenschutz-Grundverordnung ist gemäß Art. 51 Abs. 1 DS-GVO die Aufsichtsbehörde zuständig, nicht Private. Als externe Datenschutzaufsichtsbehörde i.S.v. Art. 51 DS-GVO ist für den Beklagten gemäß Art. 21 Abs. 1 Satz 2 BayRG der Rundfunkdatenschutzbeauftragte bestellt. Zu dessen Aufgaben gehört gemäß Art. 57 Abs. 1 Buchst. a DS-GVO die Überwachung und Durchsetzung der Anwendung der Datenschutz-Grundverordnung. Hierbei hat er als Aufsichtsbehörde gegebenenfalls im Rahmen einer Beschwerde nach Art. 77 DS-GVO die Rechtmäßigkeit einer Auftragsdatenverarbeitung zu prüfen und die ihm hierzu eingeräumten Befugnisse nach Art. 58 DS-GVO zu nutzen (vgl. Art. 21 Abs. 6 BayRG). Dem Betroffenen selbst ist hingegen nach Art. 15 DS-GVO nur ein Auskunftsrecht über die eigenen personenbezogenen Daten eingeräumt (vgl. auch Erwägungsgrund 63 DS-GVO). Ein Recht auf eigenständige Rechtmäßigkeitsüberprüfung steht ihm hingegen nicht zu. Vor diesem Hintergrund hat vorliegend der Kläger kein berechtigtes Interesse, selbst den Abschluss und die Rechtmäßigkeit eines Auftragsverarbeitungsvertrags zu prüfen.“
Eine Rechtmäßigkeits-Prüfung unterliegt ausschließlich der Aufsichtsbehörde
Die Entscheidung ist richtig und auch gut begründet. Die Kontrollrechte im Hinblick auf die Rechenschaftspflichten und der Existenz, respektive Rechtmäßigkeit eines erforderlichen Vertrages über die Auftragsverarbeitung gem. Art. 28 DSGVO liegen unter anderem bei den Aufsichtsbehörden, jedoch nicht bei der betroffenen Person. Dieser steht „nur“ das Auskunftsrecht nach Art. 15 DSGVO zu, was eine weitreichende Kontrolle der sie betreffenden Datenverarbeitung ermöglicht – unter anderem auch die Benennung der „Empfänger“, womit auch die Auftragsverarbeiter grundsätzlich erfasst werden. Zudem ist es auch die Pflicht aus Art. 13 DSGVO über die Datenverarbeitung und ebenso die Empfänger derselben zu informieren, was auch hinreichend Transparenz schafft.
Gleichwohl kann sich die betroffene Person mit einer Beschwerde an die Aufsichtsbehörde wenden, die dann wiederum die Rechtmäßigkeit einer Auftragsverarbeitung prüfen bzw. ggfs. beanstanden könnte. Aber eine Prüfung des AV-Vertrages soll der betroffenen Person nicht zugestanden werden. In der Praxis würde dies ohnehin auch erhebliche Mehraufwände und Arbeit für die Unternehmen bedeuten, die bereits jetzt schon durch die empfohlenen „regelmäßigen Kontrollen“ und Audits mit hohen bürokratischen, datenschutzrechtlichen Aufgaben und Nachweispflichten zu kämpfen haben.
10. April 2025 @ 16:47
Ihr Hinweis auf die Überlastung der Aufsichtsbehörden ist zweifelsohne berechtigt – stellt allerdings ein strukturelles Problem dar.
Ein individuelles Prüfungsrecht der betroffenen Personen würde nicht zur Lösung beitragen, sondern neue datenschutzrechtliche Zielkonflikte eröffnen. Die Prüfung der Rechtmäßigkeit komplexer AV-Verträge gehört in die Hände spezialisierter Stellen mit entsprechender Expertise und Unabhängigkeit (!).
Nicht zuletzt deshalb steht betroffenen Personen mit Art. 77 DSGVO weiterhin der Weg offen, sich bei datenschutzrechtlichen Bedenken an die zuständige Aufsichtsbehörde zu wenden (die meiner Erfahrung nach sehr wohl Beschwerden risikoorientiert begegnen und bewerten) – gegebenenfalls auch flankiert durch den Rechtsweg. Alles andere würde das Gleichgewicht zwischen Transparenz, Geheimnisschutz und Praktikabilität zu gefährden.
10. April 2025 @ 13:29
Damit verschiebt man (in meiner Auffassung auch zurecht) die Feststellung zwar zu den Aufsichtsbehörden – allerdings sind diese ohnehin schon vielfach inhaltlich und zeitlich völlig überfordert und überlastet, so dass sich schlussendlich auch hier wieder eine offene Flanke in der praktischen Umsetzung bzw. Anwendung der DS-GVO offenbart – was ggf. dann zuguterletzt nur über einen Klageweg vor Gereicht wieder anzufechten wäre…