Gesonderte Entgeltpflicht für Kontrollen/Audit bei der Auftragsverarbeitung?

Im Rahmen seiner sog. „Aktuellen Kurzinformationen 6“ (AKI) wies der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) bereits 2018 auf einen Umstand hin, der die Parteien einer Auftragsverarbeitung beschäftigen kann.

Es kommt nicht selten vor, dass Vereinbarungen zur Auftragsverarbeitung vorsehen, dass es dem Auftraggeber nur gegen Zahlung eines besonderen Entgelts möglich sein soll, eine Vor-Ort-Kontrolle bei dem Auftragsverarbeiter durchzuführen.

So enthält bspw. auch das Muster der GDD unter Ziffer 7 (4) folgende Musterklausel:

„Für die Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer einen Vergütungsanspruch geltende machen„.

Der BayLfD wies in seiner damaligen AKI darauf hin, dass die Wahrnehmung der Kontrollrechte aus datenschutzrechtlicher Sicht nicht von einem besonderen Entgelt abhängig gemacht werden darf. Dies gelte gerade auch für Vor-Ort-Kontrollen beim Auftragsverarbeiter. Ein besonderes Entgelt würde einer Ausübung der Kontrollrechte entgegenwirken.

Die Vereinbarung eines Entgelts, einer Aufwandsentschädigung oder eines sonstiges Kostenbeitrags, auch die Vereinbarung, hierzu im Bedarfsfall nachträglich eines Regelung zu treffen, führe dazu, dass eine Inspektion beim Auftragsverarbeiter als etwas „Außergewöhnliches“ wahrgenommen werde, das dem Auftraggeber „eigentlich“ zustehe und gerade deshalb außerhalb der wechselseitigen Austauschbeziehung zu vergüten sei.

Unbenommen bleibe es dem Auftragsverarbeiter aber, die ihm durch Vor-Ort-Kontrollen seines Auftraggebers entstehenden Kosten von vornherein pauschal in das Angebot der vertraglichen Leistung einzupreisen.
Diese Bewertung aus den AKI 6 findet sich auch in dem 31. Tätigkeitsbericht des BaylfD unter Ziffer 2.3 wieder.

Unbestritten ist diese sehr restriktive Ansicht des BayLfD jedoch nicht. Eine Ansicht, die diese „Problematik“ erst gar nicht als datenschutzrechtliches „Problem“ erachtet, sondern der Auffassung ist, dass es der „Markt lösen“ sollte, kommt ebenfalls aus Bayern. In den FAQs des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) wird die Frage „Darf ein Auftragsverarbeiter für Kontrollmaßnahmen des Auftraggebers Extrakosten verlangen?“ lapidar wie folgt beantwortet:
„Die Preisgestaltung für DV-Dienstleistungen nach Art. 28 DS-GVO ist primär eine zivilrechtliche Frage des Vertragsverhältnisses und, solange kein Rechtsmissbrauch vorliegt, Sache der Vertragspartner.„

Eine ebenfalls differenzierte Betrachtung der Fragestellung gibt es von dem Europäischen Datenschutzausschuss (EDSA). Der EDSA hat im Juli 2021 nach öffentlicher Konsultation seine überarbeitete Leitlinien 7/2020 zu den Begriffen des Verantwortlichen und des Auftragsverarbeiters in der Datenschutz-Grundverordnung veröffentlicht. Dort gibt es auch Ausführungen zu der Frage einer Entgeltpflicht für Kontrollen bei der Auftragsverarbeitung. Der EDSA weist darauf hin, dass die wirtschaftliche Gestaltung der Austauschbeziehung zwischen dem Verantwortlichen und dem Auftragsverarbeiter durch den Markt und nicht durch die Datenschutz-Grundverordnung reguliert wird. Dies bedeute auch, dass es dem Verantwortlichen unbenommen ist, ihm unterbreitete Angebote von Auftragsverarbeitern auf ihre Datenschutzfreundlichkeit zu prüfen und diesen Gesichtspunkt bei der Auswahl des Vertragspartners zu berücksichtigen. Der Verantwortliche werde zudem entsprechende Vorgaben in einen Ausschreibungstext aufnehmen können, wenn die benötigte Leistung in einem Vergabeverfahren beschafft wird. Der EDSA gibt zu bedenken, dass Kosten oder Gebühren Maßnahmen des Verantwortlichen nach Art. 28 Abs. 3 Satz 2 lit. h) DS-GVO behindern können.

(Foto: Sikov – stock.adobe.com)