Kostentragungspflicht für Kontrollen des Verantwortlichen bei Auftragsverarbeitern?

Sobald eine Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen erfolgt, ist mit diesem sogenannten Auftragsverarbeiter ein Auftragsverarbeitungsvertag zu schließen. Hierbei ist der Verantwortliche gemäß Art. 28 Abs. 1 DSGVO dazu angehalten, nur mit solchen Auftragsverarbeitern zu arbeiten, welche hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.

Überprüfungen beim Auftragsverarbeiter

Gemäß Art. 28 Abs. 3 S. 2 lit. h DSGVO soll der Auftragsverarbeitungsvertrag dem Verantwortlichen die Möglichkeit gewähren, Überprüfungen beim Auftragsverarbeiter selbst vorzunehmen. Hierdurch soll dem Verantwortlichen die Möglichkeit gegeben werden, die Einhaltung der Pflichten des Auftragsverarbeiters zu kontrollieren.
Dieses Recht trägt dem Umstand Rechnung, dass der Verantwortliche bei der Auftragsverarbeitung grundsätzlich in dieser Stellung verbleibt. Der Verantwortliche ist umfassend weisungsberechtigt, entscheidet allein über den Zweck der Verarbeitung und hat auch dafür einzustehen, dass diese von einer Rechtsgrundlage gedeckt ist.

Keine gesetzliche Kostentragungspflicht für Kontrollen

Auftragsverarbeitungsverträge enthalten nicht selten Klauseln, welche dem Verantwortlichen eine Kostentragungspflicht für solche Kontrollen auferlegen. Hierdurch sollen die Kosten des Auftragsverarbeiters gedeckt werden, die diesem durch solche Vor-Ort-Kontrollen entstehen. Solche binden regelmäßig Kapazitäten vor Ort und können auch den Betriebsablauf stören.

Jüngst hat sich der Bayerische Landesbeauftragte für den Datenschutz mit dieser Thematik befasst und in einer Kurz-Information (https://www.datenschutz-bayern.de/datenschutzreform2018/aki06.html) Argumente gegen kostenpflichtige Kontrollen angeführt.
Darin macht es darauf aufmerksam, dass das Gesetz selbst für derartige Kontrollen keine gesonderte Vergütung vorsehe.
Es sei ferner nicht zu verkennen, dass eine etwaige Kostentragungspflicht den Verantwortlichen hinsichtlich seiner vom Gesetzgeber auferlegten Obliegenheit abschreckende Wirkung entfalten könne.
Zwar habe der Auftragsverarbeiter ein berechtigtes Interesse daran, sich nicht gänzlich unerwartet von seinen Aufraggebern Kontrollen unterziehen zu müssen. Diesem Interesse sei jedoch dadurch genügend Rechnung getragen, dass jede Partei eines Auftragsverarbeitungsvertrages nach Treu und Glauben zur Rücksichtnahme auf die jeweils andere Partei verpflichtet ist. So kann beispielsweise vorab vereinbart werden, dass eine Vor-Ort-Kontrolle grundsätzlich mit einer bestimmten Frist anzukündigen beziehungsweise abzustimmen ist.
Zudem bestehe für den Auftragsverarbeiter die Möglichkeit, die ihm durch Vor-Ort-Kontrollen seines Auftraggebers entstehenden Kosten von vornherein pauschal in das Angebot der vertraglichen Leistung einzurechnen (sogenannte „Einpreisung“).

–––

Sie suchen einen erfahrenen Partner rund um das Thema Datenschutz? Setzen Sie sich mit uns in Verbindung.