Zur Ausgestaltung von Entgelten in Auftragsverarbeitungsverträgen für bayerische öffentliche Stellen

In Verträgen zur Auftragsverarbeitung sind die in Art. 28 DSGVO normierten Regelungen umzusetzen. Es obliegt dem Verantwortlichen, im Rahmen von Kontrollen beim Auftragsverarbeiter sicherzustellen, dass die Datenverarbeitung beim Auftragsverarbeiter in zulässiger Weise erfolgt. Art. 28 Abs. 3 lit. h DSGVO verpflichtet den Auftragsverarbeiter, dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung zu stellen und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, zu ermöglichen und dazu beizutragen.

Die Unterstützungspflicht des Auftragsverarbeiters bei der Durchführung der Kontrollpflichten des Verantwortlichen geht für Erstgenannten mit zeitlichen und organisatorischen und in der Folge auch mit finanziellen Aufwänden einher. Für einen Auftragsverarbeiter wird es daher regelmäßig von Interesse sein, für seine gesetzlich normierte Unterstützungspflicht bei den Kontrollen ein Entgelt vonseiten des Verantwortlichen zu erhalten. Für den Auftraggeber kann die Vergütung der Wahrnehmung seiner gesetzlichen Kontrollpflichten aber gerade ein Hindernis darstellen, diesen Kontrollen nachzukommen. Es ist unschwer zu erkennen, dass diese Situation enorme Konflikte zwischen den Parteien hervorbringen kann.

In der Praxis stellen sich daher verschiedene Fragen. An allererster Stelle: Kann bzw. darf überhaupt eine Entgeltregelung für die Wahrnehmung der Kontrollpflichten zwischen den Parteien vereinbart werden? Und wenn ja, unter welchen Voraussetzungen?

Was steht hierzu in der DSGVO?

Die DSGVO selbst beinhaltet keine Regelung, aus der eine Kostenaufteilung zwischen Verantwortlichem und Auftragsverarbeiter für die Durchführung solcher Kontrollen geregelt wird. D. h. aus dem Gesetz ergibt sich weder eine Pflicht noch eine explizite Erlaubnis für die Vereinbarung von Entgelten für die Unterstützung bei der Wahrnehmung von Kontrollrechten.

Die Äußerungen des BayLfD

Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) hatte sich schon vor längerer Zeit dahingehend geäußert, mit dass ein gesondertes Entgelt der Wahrnehmung der Kontrollrechte entgegenstehen bzw. diese zumindest beeinträchtigen könnte.

Zwischenzeitlich hat sich auch das European Data Protection Board (EDPB) zur Thematik der Vereinbarung eines Entgeltes für die Wahrnehmung der Kontrollrechte geäußert (S. 48 Rn. 145). In diesem Zusammenhang hat sich der BayLfD erneut mit der Problematik der Entgeltverpflichtung zwischen Auftraggeber und Auftragnehmer auseinandergesetzt und fünf Überlegungen für bayerische öffentliche Stellen veröffentlicht, die bei der Vereinbarung eines verhältnismäßigen Entgeltes zu Hilfe gezogen werden sollen, so dass der Auftraggeber nicht durch unverhältnismäßig hohe Kosten von seiner gesetzlichen Pflicht zur Durchführung seiner Kontrollpflichten abgeschreckt wird.

Hierbei nimmt der BayLfD auch explizit Bezug auf die Ausführungen des EDPB. Das EDPB äußert sich in seinen überarbeiteten Leitlinien 7/2020 (S. 48 Rn. 145) nämlich dahingehend, dass es zwar keine gesetzliche Regelung bzgl. einer Aufteilung von Kosten aufgrund der in Art. 28 DSGVO normierten Kontrollpflicht gebe, die Frage nach einer Kostenaufteilung aber ökonomischen Erwägungen unterliege. Daher sollten nach Ansicht des EDPB in der Praxis keine Vertragsklauseln vereinbart werden, die die Zahlung von Kosten/Gebühren vorsehen, die eindeutig unverhältnismäßig oder überhöht sind oder eine abschreckende Wirkung auf die Parteien hätten, denn dann könnten die in Art. 28 Abs. 3 lit. h DSGVO normierten Rechte und Pflichte praktisch nicht ausgeübt werden. In der Gesamtschau bringt das EDPB also zum Ausdruck, dass es nicht grundsätzlich als unzulässig angesehen wird, Kostenklauseln in Auftragsverarbeitungsverträgen zu vereinbaren, wenn diese dem Grundsatz der Verhältnismäßigkeit Rechnung tragen.

Hieran anknüpfend hat der BayLfD in seiner aktuellen Kurz-Information 6 „Entgeltpflicht für Kontrollen bei der Auftragsverarbeitung?“ vom 15.11.2021 fünf Überlegungen für bayerische öffentliche Stellen veröffentlicht, die von diesen berücksichtigt werden sollen, „soweit die neu gefassten Leitlinien 7/2020 des EDPB eine Vereinbarung separater, insbesondere nicht pauschalisierter Entgelte für Maßnahmen des Verantwortlichen i. S. d. Art. 28 Abs. 3 lit. h DSGVO nicht ausschließen“. Diese Überlegungen des BayLfD lauten wie folgt:

• Ob eine Klausel für Maßnahmen nach Art. 28 Abs. 3 lit. h DSGVO ein eindeutig unverhältnismäßiges oder überhöhtes Entgelt vorsieht, das für den Verantwortlichen eine abschreckende Wirkung entfaltet, ist nach Ansicht des BayLfD stets in Anbetracht der Umstände des Einzelfalls zu würdigen.
• Ein Fall eindeutiger Unverhältnismäßigkeit kann nach Ansicht des BayLfD v. a. dann gegeben sein, wenn die während der Laufzeit des Vertrages für Maßnahmen nach Art. 28 Abs. 3 lit. h DSGVO erwartbaren Kosten/Gebühren die Gestalt der vom Verantwortlichen zu erbringenden Hauptleistung wesentlich verändern.
• Ein eindeutig überhöhtes Entgelt kann nach Ansicht des BayLfD insbesondere daraus resultieren, dass der tatsächliche Aufwand beim Auftragsverarbeiter zu den vereinbarten Kosten/Gebühren in einem grob unangemessenen Verhältnis steht.
• Eine abschreckende Wirkung kann nach Ansicht des BayLfD dann bestehen, wenn zu erwarten ist, dass der Verantwortliche Maßnahmen nach Art. 28 Abs. 3 lit. h DSGVO auf Grund der Kostenbelastung nicht ohne Überwindung weiterer Hürden veranlassen kann. Das ist nach Ansicht des BayLfD insbesondere dann gegeben, wenn bei einem kommunalen Träger nach den einschlägigen Vorschriften ein Gremienbeschluss zur Bewilligung außer- oder überplanmäßigen Ausgaben erforderlich wird.
• Soweit bayerische öffentliche Stellen im Einzelfall separate, insbesondere nicht pauschalierte Entgelte für Maßnahmen nach Art. 28 Abs. 3 lit. h DSGVO vereinbaren möchten, sollten sie nach Ansicht des BayLfD vor diesem Hintergrund zum einen auf eine strikte Kostentransparenz achten. Dazu gehört neben einer Markterkundung nach Ansicht des BayLfD insbesondere eine Aufwandsprognose. Bereits vor Vertragsschluss sollte entsprechend der Überlegungen des BayLfD zumindest überschlägig ermittelt werden, welche Mittel während der Vertragsdauer voraussichtlich für Maßnahmen nach Art. 28 Abs. 3 lit. h DSGVO über die Hauptleistung hinaus bereitgestellt werden müssen. Diese Mittel sollten entsprechend der Ausführungen des BayLfD zum anderen in der haushaltsrechtlich angezeigten Form so eingeplant werden, dass der Verantwortliche im Bedarfsfall jederzeit darauf zugreifen kann, insbesondere eine (zusätzliche) Bewilligung nicht erforderlich ist. Im Übrigen sollten kommunale Träger bei Vertragsschlüssen, die der Zustimmung des kollegialen Hauptorgans bedürfen, nach Ansicht des BayLfD auch insofern für Kostentransparenz sorgen.

Fazit

Bei der Vereinbarung von Kostenklauseln in Auftragsverarbeitungsverträgen handelt es sich um ein aktuelles Thema, das Auftraggeber wie Auftragnehmer beschäftigt. Das EDPB schließt die Vereinbarung von Entgelten für die Umsetzung der Kontrollpflichten in seinen o.g. Leitlinien nicht grundsätzlich aus, knüpft diese aber an die Bedingung, dass die Kosten nicht unverhältnismäßig sein dürfen und keine abschreckende Wirkung auf den Verantwortlichen haben dürfen.

Wie verhältnismäßige und den Verantwortlichen nicht abschreckende Kostenklauseln in der Praxis letztlich auszugestalten sind, kann durchaus Konfliktpotential bergen – für öffentliche Stellen wie auch für private Unternehmen.

Die o.g. Überlegungen des BayLfD sollen nach dessen Ausführungen durch die bayerischen öffentlichen Stellen beachtet werden.