Gesonderte Entgeltpflicht für Kontrollen/Audit bei der Auftragsverarbeitung?

Outsourcing Entgelt für Kontrolle

Im Rahmen seiner sog. „Aktuellen Kurzinformationen 6“ (AKI) wies der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) bereits 2018 auf einen Umstand hin, der die Parteien einer Auftragsverarbeitung beschäftigen kann.

Es kommt nicht selten vor, dass Vereinbarungen zur Auftragsverarbeitung vorsehen, dass es dem Auftraggeber nur gegen Zahlung eines besonderen Entgelts möglich sein soll, eine Vor-Ort-Kontrolle bei dem Auftragsverarbeiter durchzuführen.

So enthält bspw. auch das Muster der GDD unter Ziffer 7 (4) folgende Musterklausel:

Für die Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer einen Vergütungsanspruch geltende machen„.

Der BayLfD wies in seiner damaligen AKI darauf hin, dass die Wahrnehmung der Kontrollrechte aus datenschutzrechtlicher Sicht nicht von einem besonderen Entgelt abhängig gemacht werden darf. Dies gelte gerade auch für Vor-Ort-Kontrollen beim Auftragsverarbeiter. Ein besonderes Entgelt würde einer Ausübung der Kontrollrechte entgegenwirken.

Die Vereinbarung eines Entgelts, einer Aufwandsentschädigung oder eines sonstiges Kostenbeitrags, auch die Vereinbarung, hierzu im Bedarfsfall nachträglich eines Regelung zu treffen, führe dazu, dass eine Inspektion beim Auftragsverarbeiter als etwas „Außergewöhnliches“ wahrgenommen werde, das dem Auftraggeber „eigentlich“ zustehe und gerade deshalb außerhalb der wechselseitigen Austauschbeziehung zu vergüten sei.

Unbenommen bleibe es dem Auftragsverarbeiter aber, die ihm durch Vor-Ort-Kontrollen seines Auftraggebers entstehenden Kosten von vornherein pauschal in das Angebot der vertraglichen Leistung einzupreisen.
Diese Bewertung aus den AKI 6 findet sich auch in dem 31. Tätigkeitsbericht des BaylfD unter Ziffer 2.3 wieder.

Unbestritten ist diese sehr restriktive Ansicht des BayLfD jedoch nicht. Eine Ansicht, die diese „Problematik“ erst gar nicht als datenschutzrechtliches „Problem“ erachtet, sondern der Auffassung ist, dass es der „Markt lösen“ sollte, kommt ebenfalls aus Bayern. In den FAQs des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) wird die Frage „Darf ein Auftragsverarbeiter für Kontrollmaßnahmen des Auftraggebers Extrakosten verlangen?“ lapidar wie folgt beantwortet:
Die Preisgestaltung für DV-Dienstleistungen nach Art. 28 DS-GVO ist primär eine zivilrechtliche Frage des Vertragsverhältnisses und, solange kein Rechtsmissbrauch vorliegt, Sache der Vertragspartner.

Eine ebenfalls differenzierte Betrachtung der Fragestellung gibt es von dem Europäischen Datenschutzausschuss (EDSA). Der EDSA hat im Juli 2021 nach öffentlicher Konsultation seine überarbeitete Leitlinien 7/2020 zu den Begriffen des Verantwortlichen und des Auftragsverarbeiters in der Datenschutz-Grundverordnung veröffentlicht. Dort gibt es auch Ausführungen zu der Frage einer Entgeltpflicht für Kontrollen bei der Auftragsverarbeitung. Der EDSA weist darauf hin, dass die wirtschaftliche Gestaltung der Austauschbeziehung zwischen dem Verantwortlichen und dem Auftragsverarbeiter durch den Markt und nicht durch die Datenschutz-Grundverordnung reguliert wird. Dies bedeute auch, dass es dem Verantwortlichen unbenommen ist, ihm unterbreitete Angebote von Auftragsverarbeitern auf ihre Datenschutzfreundlichkeit zu prüfen und diesen Gesichtspunkt bei der Auswahl des Vertragspartners zu berücksichtigen. Der Verantwortliche werde zudem entsprechende Vorgaben in einen Ausschreibungstext aufnehmen können, wenn die benötigte Leistung in einem Vergabeverfahren beschafft wird. Der EDSA gibt zu bedenken, dass Kosten oder Gebühren Maßnahmen des Verantwortlichen nach Art. 28 Abs. 3 Satz 2 lit. h) DS-GVO behindern können.

(Foto: Sikov – stock.adobe.com)


Letztes Update:29.05.22

  • Gemeinsame Verantwortlichkeit: Die neue Auftragsverarbeitung?

    Gemeinsame Verantwortlichkeit: Die neue Auftragsverarbeitung?

    Seminar

    794.60 € Mehr erfahren
  • Aktuelle Prüfpraxis der Datenschutzaufsichtsbehörden

    Aktuelle Prüfpraxis der Datenschutzaufsichtsbehörden

    Seminar

    812.00 € Mehr erfahren
  • Recht auf Löschen

    Orientierungshilfe „Das Recht auf Löschung nach der DS-GVO“

    Die Datenschutz-Grundverordnung (DS-GVO) als gesetzliche Regelung zur Verarbeitung personenbezogener Daten hat den Datenschutz nachhaltig verändert und geprägt. Sie verpflichtet jedes Unternehmen – unabhängig von seiner Größe – zur Implementierung eines Datenschutzmanagementsystems (DSMS). Jeder Verantwortliche hat deswegen eine Datenschutzorganisation vorzuweisen, die in der Lage ist, die Einhaltung datenschutzrechtlicher Pflichten zu gewährleisten. Eine der maßgeblichen Anforderungen ist

    Mehr erfahren
  • GPS-Tracking

    Zwecke für GPS-Tracking im Beschäftigungsverhältnis

    GPS-Tracking im Beschäftigtenverhältnis kann datenschutzrechtlich zulässig sein, soweit die Interessen des Arbeitgebers und das Persönlichkeitsrecht der Beschäftigten in einen angemessenen Ausgleich gebracht werden und es auf das erforderliche Maß beschränkt ist. In seinem 50. Tätigkeitsbericht geht der Hessische Datenschutzbeauftragte auf mögliche Zwecke eines GPS-Trackings ein und schildert anhand eines von der Behörde geprüften Falles, welches

    Mehr erfahren
  • Mitarbeiterexzess Datenbankabfrage

    Datenschutzverstöße durch „Mitarbeiterexzess“

    Regel: Unternehmen haften für Datenschutzverstöße ihrer BeschäftigtenNach Auffassung der Datenschutzkonferenz (DSK) als Gremium der deutschen Datenschutzaufsichtsbehörden sollen Unternehmen im Rahmen von Art. 83 DS-GVO für Datenschutzverstöße eines jeden Beschäftigten haften, wenn der Mitarbeiter nicht im Exzess (für eigene Zwecke) gehandelt hat. Dabei sei nicht erforderlich, dass für die Handlung ein gesetzlicher Vertreter oder eine Leitungsperson verantwortlich ist.

    Mehr erfahren