Sowohl vor als auch nach dem 25.5.2018 (und auch weiterhin) spielten und spielen in der Praxis die Anpassungen von bestehenden oder der Abschluss von neuen Verträgen zur Auftragsverarbeitung eine wichtige Rolle. Dabei haben sich die gesetzlichen Vorgaben in diesem Bereich (nun Art. 28 DSGVO) gar nicht so sehr geändert. Der Abschluss eines Vertrages etwa war auch vor dem 25.5.2018 erforderlich.
Nach Art. 28 Abs. 3 lit. h) DSGVO muss der Vertrag unter anderem vorsehen, dass der Auftragsverarbeiter, „dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen — einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt“. Der Auftragsverarbeiter muss danach ausdrücklich Kontrollen durch den Verantwortlichen ermöglichen und auch dazu beitragen. Diese Kontrollen sollen es dem Verantwortlichen ermöglichen zu prüfen, ob der Dienstleister die in Art. 28 DSGVO vorgegebenen Regularien beim Umgang mit personenbezogenen Daten beachtet.
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD; die Aufsichtsbehörde für den öffentlichen Bereich in Bayern) hat nun ein durchaus praxisrelevantes Kurzpapier zu der Frage veröffentlicht, ob Auftragsverarbeiter ihr Mitwirken an diesen Kontrollen durch den Verantwortlichen von Zahlungen (z.B. von Aufwendungen) abhängig machen können. Aus eigener Erfahrung kann ich sagen, dass derartige Klauseln, die dem Auftragsverarbeiter das Recht zusprechen, für seine Mitwirkungshandlungen im Zuge der Erfüllung der DSGVO-Pflichten eine gesonderte Vergütung zu verlangen, in der Praxis sehr verbreitet sind. Laut dem Kurzpapier werden auch bayerische öffentliche Stellen von Auftragsverarbeitern unter anderem mit dem Ansinnen konfrontiert, einer Vertragsklausel zuzustimmen, die dem Auftraggeber eine Vor-Ort-Kontrolle nur gegen ein besonderes Entgelt ermöglicht.
Nach Auffassung des BayLfD müssen die Kontrollrechte nach der DSGVO ohne besondere Begründung seitens des Verantwortlichen als Auftraggeber und ohne Abwehrmöglichkeit seitens des Auftragsverarbeiters (Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO: „und dazu beiträgt“) ausgeübt werden können. „Andernfalls könnte der Verantwortliche nämlich seinen bei ihm auch nach Einbindung eines Auftragsverarbeiters verbleibenden Pflichten insbesondere gegenüber den betroffenen Personen nicht angemessen nachkommen“.
Daher darf nach Ansicht des BayLfD die Wahrnehmung der Kontrollrechte des Auftraggebers aus datenschutzrechtlicher Sicht nicht von einem besonderen Entgelt abhängig gemacht werden. Ein gesondertes Entgelt würde einer Ausübung der Kontrollrechte entgegenwirken. Ein solches Entgelt könne zudem entweder auf Grund seiner bereits erkennbaren (absoluten) Höhe oder der vertraglich angelegten Unklarheit seiner Berechnung abschreckende Wirkung entfalten.
Als Lösung schlägt der BayLfD vor, dass der Auftragsverarbeiter die ihm durch Vor-Ort-Kontrollen seines Auftraggebers entstehenden Kosten von vornherein pauschal in das Angebot der vertraglichen Leistung einrechnet („Einpreisung“). Um dem Risiko für Auftragsverarbeiter zu begegnen, nicht von Auftraggebern „überrannt“ zu werden, verweist der BayLfD darauf, dass jede Partei einer Auftragsverarbeitungs-Vereinbarung nach Treu und Glauben zur Rücksichtnahme auf die jeweils andere Partei verpflichtet ist. Diese Verpflichtung könne in der Vereinbarung durchaus näher ausgestaltet werden, etwa durch Bestimmungen, „dass eine Vor-Ort-Kontrolle grundsätzlich mit einer bestimmten Frist anzukündigen bzw. abzustimmen ist, oder dass anlasslose Inspektionen mengenmäßig kontingentiert sind“.
Die Ansicht des BayLfD wird man sicherlich diskutieren können. Dann ein vom Gesetz gefordertes „Beitragen“ zu den Kontrollen durch den Auftragsverarbeiter kann dem Grunde auch bei der Vereinbarung eines Entgelts vorliegen. Die DSGVO selbst schließt dies zumindest in Art. 28 DSGVO nicht aus. Das Gesetz konkretisiert nicht, inwiefern das „Beitragen“ kostenlos erfolgen muss. Der europäische Gesetzgeber hat aber solche Problematiken, dass die Pflichtenerfüllung der DSGVO nur gegen Entgelt ermöglicht wird, durchaus erkannt und an anderen Stellen entsprechende Regelungen für eine Kostenfreiheit getroffen, etwa in Art. 12 Abs. 5 DSGVO zu den Betroffenenrechten.
Zudem kann man die Auffassung vertreten, dass die vorgeschlagene Lösung über näher ausgestaltetet Regelungen zur Rücksichtnahme auf die Interessen der anderen Partei ebenso eine Abhängigkeit der Kontrollrechte von bestimmten Handlungen schafft. Denn wenn vor der Kontrolle diese zwischen den Parteien „abzustimmen“ ist, kann dies ebenfalls bedeutet, dass eine Kontrolle nicht ohne einvernehmliche Planung und gemeinsame Festlegung durch beide Parteien erfolgen kann. Damit hätte es aber wieder der Auftragsverarbeiter in der Hand, der Kontrolle „entgegenzuwirken“, was der BayLfD hinsichtlich des Entgelts als unzulässig ansieht.
Hier die richtige (vertragliche) Balance zu finden ist sicherlich nicht ganz einfach und wird vielfach auch durch die Umstände des Einzelfalls beeinflusst sein.
Das kann unmöglich ernst gemeint sein. Damit wären alle Cloud-Dienste tot, insbesondere Anbieter von Freemium-Modellen.
Ist das die Absicht der DSGVO? Unwahrscheinlich. Der BayLfD hat seiner Reputation mit diesem Papier keinen guten Dienst erwiesen.