Ein großes Konfliktpotenzial in der Auftragsverarbeitung bergen die Kontrollrechte des Verantwortlichen. Diese werden zwar in der DSGVO mehr oder weniger präzise erwähnt, müssen aber häufig erst in der konkreten Situation ausgehandelt und diskutiert werden. Allen voran steht die Frage: Was darf der Kunde eines Dienstleisters als Verantwortlicher im Wege der Auftragsverarbeitung alles verlangen und einsehen? Wie weit reicht ein Audit?
Die DSGVO regelt sehr allgemein: Nach Art. 28 Abs. 3 S. 2 lit. h DSGVO ergibt sich die Pflicht des Auftragsverarbeiters, dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der sich aus Art. 28 DSGVO ergebenden Pflichten zur Verfügung zu stellen. Darüber hinaus hat der Verantwortliche wohl sogar die Pflicht, erforderliche Überprüfungen beim Auftragsverarbeiter durchzuführen. Bei der Ermöglichung solcher Überprüfungen muss der Auftragsverarbeiter wie auch bei weiteren Aufgaben der DSGVO den Verantwortlichen unterstützen.
Die Regelungen zu den Kontrollpflichten sind zwingender Bestandteil eines Vertrages über die Auftragsverarbeitung nach Art. 28 DSGVO und können zwischen beiden Parteien detailliert ausgehandelt werden. Hier zeigt sich schnell das Kräftemessen der Parteien.
Dieser Pflicht kann nicht nur durch die Ermöglichung von Vor-Ort-Kontrollen nachgegangen werden, sondern und insbesondere auch durch Vorlage eines schlüssigen Datensicherheitskonzepts des Auftragsverarbeiters, Informationseinholung mittels Fragebögen, Anforderung von Prüfergebnissen oder die Einschaltung von sachverständigen Dritten (vgl. Klug in: Gola, DSGVO, 2. Auflage 2018 Art. 28 Rn. 11).
Die Praxis zeigt, dass eher selten Kontrollen vor Ort durch den Verantwortlichen selbst erfolgen, sondern vielmehr die Beauftragung von externen Prüfern durch den Auftragsverarbeiter ausreichend ist – oder durch Zusendung entsprechender Dokumente und Zertifikate dieser Aufgabe nachgekommen wird. Die großen Anbieter bieten teilweise seitenlange Konzepte.
Was ist mit dem Datenschutz-Tätigkeitsbericht?
Die Diskussion zur Reichweite der Kontrollrechte führt unter anderem zur Frage, wer in den Tätigkeitsbericht des Datenschutzbeauftragten Einsicht nehmen darf. Denn hier könnten aussagekräftige und durch einen Fachmann getätigte Informationen enthalten sein.
Das erfordert aber noch einen Schritt zurück: Die Stellung und Aufgaben eines Datenschutzbeauftragten sind in Artt. 38, 39 DSGVO normiert. Aus diesen Normen wird deutlich, dass der DSB überwiegend eine Beratungstätigkeit für das Unternehmen bzw. für die Stelle innehat, für welche er bestellt ist. Im Rahmen dieser Tätigkeit stellt er mit Einführung von Rechenschaftswerkzeugen und Prozessen sicher, dass die DSGVO eingehalten wird, und agiert zudem als Vermittler zwischen relevanten Interessenvertretern (vgl. Art. 29-Gruppe, WP 243, Einführung). Zu diesen Vertretern gehört gewiss auch der Verantwortliche im Rahmen einer Auftragsverarbeitung.
Die Beratungstätigkeit des DSB konzentriert sich jedoch nicht nur auf die für den Verantwortlichen relevante Verarbeitungstätigkeit, sondern erfasst die gesamten datenschutzrechtlichen Abläufe des Auftragsverarbeiters, d.h. auch solche Vorgänge, für die der Auftragsverarbeiter als eigener Verantwortlicher auftritt und ohnehin per Gesetz selbst sicherzustellen hat (vgl. Art. 29-Gruppe, WP 243, S. 12).
Er berichtet dabei innerhalb der ihm bestellten Organisation der Geschäftsleitung, denn nach Art. 38 Abs. 3 S. 3 heißt es „der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters.“
Betrachtet man den Sinn und Zweck eines Tätigkeitsberichts, dürfte hierbei die Berichterstattung gegenüber der bestellten Organisation im Vordergrund stehen (vgl. Art. 38 Abs. 3 S. 3 DSGVO; so auch nach Art. 29-Gruppe, WP 243, S. 18). Mithin dient dieser auch als Leistungsnachweis in der direkten Rechtsbeziehung (z.B. im Arbeitsverhältnis oder auf Grundlange eines Geschäftsbesorgungsvertrages) und wirkt inter partes.
Demnach lässt sich, auch im Hinblick der Aufgaben des Datenschutzbeauftragten, der Schluss ziehen, dass der Tätigkeitsbericht lediglich im Rahmen der internen Beratungstätigkeit verwendet wird und mutmaßlich dieser nur der höchsten Managementebene zugänglich sein sollte. Vielmehr nimmt der Tätigkeitsbericht einen Teil der unmittelbaren Berichterstattung gegenüber der Managementebene nach Art. 38 Abs. 3 DSGVO ein und ist daher angesichts dieser deutlichen und abschließenden Vorgaben zur Funktion und Aufgabe aus der Verordnung nicht dem Verantwortlichen als eine andere Stelle zugänglich zu machen.
Daher beschränken sich die Aufgaben des Datenschutzbeauftragten bei der Erstellung eines Tätigkeitsberichts lediglich auf eine Beratungstätigkeit für die ihn bestellte Organisation, also des Auftragsverarbeiter und stellen keine externe Prüfung zum Nachweis der Einhaltung der Pflichten aus Art. 28 DSGVO für den Verantwortlichen dar.
Dabei ergibt sich aus der DSGVO noch nicht einmal unmittelbar eine Pflicht zur Erstellung eines Tätigkeitberichts bzw. eines Datenschutzberichts durch den Datenschutzbeauftragten, was ohnehin gegen die Bereitstellungspflicht spricht.
Dieses steht auch mit dem Gedanken im Einklang, dass Feststellungen (ganz oder teilweise) innerhalb des Tätigkeitberichts, der unter anderem auch nachteilige oder sensible Inhalte zum Gegenstand haben kann, dem Geschäftsgeheimnis unterliegen und daher nicht an Dritte offenbart werden dürften. Was als Geschäftsgeheimnis gilt, kann ein Unternehmen im gewissen Maße selbst definieren sowie das berechtigte Interesse an der Geheimhaltung solcher Informationen vortragen.
Fazit
Die Herausgabe des Tätigkeitsberichts des bestellten Datenschutzbeauftragten bei einer Stelle in der Rolle als Auftragsverarbeiter kann daher bereits aus der Natur der Sache nicht unter die Bereitstellungspflicht des Art. 28 Abs. 3 S. 2 lit. h DSGVO fallen, ist auch nicht von den Kontrollrechten des Verantwortlichen erfasst und könnte im Übrigen unter Umständen auch das Geschäftsgeheimnis aufseiten des Auftragsverarbeiters verletzen.
Gleichwohl kann der Auftragsverarbeiter diesen wie auch weitere relevante Unterlagen im Rahmen eines Audits oder einer Prüfung dem Verantwortlichen (eingeschränkt) vorlegen, um damit seinerseits den Rechenschaftspflichten und dem Beweis einer ordnungsgemäßen Datenverarbeitung nachzukommen.