Darf ein Auftragsverarbeitungsvertrag vorsehen, dass der Auftraggeber die Kosten für Kontrollen bezahlen muss?
Aus Bayern kommen von den Aufsichtsbehörden zwei verschiedene Meinungen:
Der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) äussert sich ablehnend, das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) hingegen empfiehlt eine vertragliche Kostenregelung.
Auftragsverarbeitung benötigt im Rahmen der Datenschutz-Grundverordnung (DSGVO) eine vertragliche Grundlage. Im entsprechenden Auftragsverarbeitungsvertrag ist häufig vorgesehen, dass die Kosten für Kontrollen durch den Auftraggeber beziehungsweise Verantwortlichen getragen werden müssen.
DSGVO: Auftragsverarbeitung nur mit Möglichkeit für Kontrollen
Art. 28 Abs. 3 lit. h DSGVO verlangt, dass ein Auftragsverarbeitungsvertrag unter anderem «Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.» Hingegen regelt die DSGVO nicht, wer die Kosten für solche Kontrollen zu tragen hat.
Kontrollen, gerade auch vor Ort, führen zu Kosten beim Auftragnehmer beziehungsweise Auftragsverarbeiter. Insofern ist naheliegend, dass sich Auftragnehmer in dieser Hinsicht absichern möchten. Dazu kommt, dass Kontrollen vergleichsweise selten sind, denn die meisten Verantwortlichen vertrauen darauf, dass ein Auftragsverarbeiter seine datenschutzrechtlichen Pflichten erfüllt und zum Beispiel die Datensicherheit besser gewährleisten kann als der Auftraggeber.
Befürchtung: Keine Kontrollen aufgrund abschreckender Wirkung von Kostenregelung
Der BayLfD erläutert, die Auftragsverarbeitung sei kein «Rundum-sorglos-Paket», sondern der Auftraggeber verbleibe in der Verantwortung. Ein Verantwortlicher müsse seinen Pflichten, die trotz Auftragsverarbeitung verbleiben, «angemessen nachkommen» können. Der BayLfD gelangt deshalb zu folgendem Ergebnis:
«Daher darf die Wahrnehmung der Kontrollrechte des Auftraggebers […] nicht von einem besonderen Entgelt abhängig gemacht werden. Dies gilt gerade auch für Vor-Ort-Kontrollen beim Auftragsverarbeiter. Ein gesondertes Entgelt würde einer Ausübung der Kontrollrechte entgegenwirken. Die Vereinbarung eines Entgelts, einer Aufwandsentschädigung oder eines sonstigen Kostenbeitrags, auch die Vereinbarung, hierzu im Bedarfsfall nachträglich eine die Auftragsverarbeitungs-Vereinbarung ergänzende Regelung zu treffen, führt dazu, dass eine Inspektion beim Auftragsverarbeiter als etwas ‹Außergewöhnliches› wahrgenommen wird, das dem Auftraggeber ‹eigentlich› nicht zusteht und gerade deshalb außerhalb der wechselseitigen Austauschbeziehung zu vergüten ist. Davon abgesehen kann ein solches Entgelt entweder auf Grund seiner bereits erkennbaren (absoluten) Höhe oder der vertraglich angelegten Unklarheit seiner Berechnung abschreckende Wirkung entfalten.»
Der BayLfD geht davon aus, dass ohne Kostenregelung der Grundsatz von Treu und Glauben einen Auftragnehmer davor schützt, von seinen Auftraggebern «überrannt» zu werden. Der BayLfD empfiehlt unter anderem vorzusehen, dass «anlasslose Inspektionen mengenmäßig kontingentiert sind» oder die «durch Vor-Ort-Kontrollen […] entstehenden Kosten von vornherein pauschal in das Angebot der vertraglichen Leistung einzurechnen (‹Einpreisung›).»
BayLfD: Absolute Meinung aus Bayern anstatt Prüfung im Einzelfall
Die Meinung des BayLfD gilt nur für den öffentlichen Bereich in Bayern. Unabhängig davon überzeugt mich die Meinung in ihrer Absolutheit nicht:
Der BayLfD erwähnt ein «gesondertes Entgelt», doch ist die Kostenregelung für Kontrollen in einem Auftragsverarbeitungsvertrag häufig allgemein formuliert. Ob eine solche Kostenregelung einen Verantwortlichen tatsächlich von Kontrollen abhält, müsste im Einzelfall geprüft werden. Dabei wären die tatsächlichen Kosten zu berücksichtigen und man müsste sich fragen, wieso der Grundsatz von Treu und Glauben nur einen Auftragsverarbeiter ohne Kostenregelung, nicht aber einen Verantwortlichen mit Kostenregelung schützen sollte. Ein Auftraggeber, der eine vertragliche Kostenregelung als unklar empfindet, sollte den betreffenden Auftragsverarbeitungsvertrag gar nicht erst abschliessen.
Bei privaten Verantwortlichen kommt dazu, dass die DSGVO mit ihren «wirksamen […] und abschreckenden» Geldbussen gemäss Art. 83 DSGVO ein Gegengewicht zu einer allenfalls abschreckenden Wirkung von Kontrollkosten für den Verantwortlichen schafft.
Die Empfehlung des BayLfD, die Kontrollkosten pauschal einzupreisen, ist nachvollziehbar. Sie benachteiligt Auftragsverarbeiter aber im Wettbewerb und verhindert nicht, dass die tatsächlichen Kosten höher ausfallen als pauschal eingepreist.
Auch bedeutet eine solche Einpreisung letztlich, dass jene Verantwortlichen, die überdurchschnittlich viele Kontrollen durchführen, ihre Kosten auf andere Verantwortliche abwälzen können. Man könnte dem BayLfD unterstellen, seine Meinung habe einen fiskalischen Hintergrund. In wirtschaftlicher Hinsicht ist klar, dass nicht der Auftragnehmer für solche Kosten aufkommen kann. TINSTAAFL!
BayLDA, eine andere Meinung aus Bayern: Vertragsauslegung im Einzelfall
Anderer Meinung ist übrigens das Bayerische Landesamt für Datenschutzaufsicht (BayLDA), die Aufsichtsbehörde für den privaten Datenschutz in Bayern. Sie konnte Ende 2016 mit Blick auf das Bundesdatenschutzgesetz (BDSG) gar keine datenschutzrechtliche Frage erkennen:
«Frage: Darf der Dienstleister […] den Aufwand, der für ihn durch die Vor-Ort-Prüfung durch das Zur-Verfügungstellen von Personal entsteht, dem Auftraggeber in Rechnung stellen (auch wenn dies vertraglich nicht explizit geregelt wurde)?
Antwort: Hierzu können wir nichts sagen. Das ist keine datenschutzrechtliche, sondern eine zivilrechtliche Streitfrage zur Auslegung eines Vertrags für nicht konkret geregelte Sachverhalte (Kernfrage: Was ist dem Auftragnehmer an Aufwand entschädigungslos zumutbar, damit der Auftraggeber seine BDSG-Kontrollpflichten erfüllen kann, und ab wann besteht ein unzumutbarer Aufwand, für den der Auftragnehmer einen angemessenen Aufwand-Ersatz verlangen kann?). Am besten ist natürlich eine Festlegung im Vertrag dazu.»
Auftragsverarbeitungsverträge werden zwischen Behörden und Unternehmen oder zwischen Unternehmen geschlossen. Solche Vertragsparteien müssen nicht geschützt werden und sollten in der Lage sein, sich auf eine allfällige vertragliche Kostenregelung zu einigen.
Fazit: Kostenregelung bleibt sinnvoll für Auftragsverarbeitung
Im innerbayerischen Meinungsstreit überzeugt mich das BayLDA gegenüber dem BayLfD.
Für Auftragsverarbeiter bleibt es bis auf weiteres sinnvoll, eine Kostenregelung für Kontrollen vorzusehen. Dabei versteht es sich von selbst, dass solche Kosten keine abschreckende Wirkung entfalten sollen.
Verantwortliche sollten beim Abschluss von Auftragsverarbeitungsverträgen darauf achten, was für eine Kostenregelung für Kontrollen vorgesehen ist – so wie sie auf jeden Vertragsinhalt achten sollten.
(Auch via «datenschutz notizen».)