Wer steht in der Pflicht, einen erforderlichen Auftragsverarbeitungsvertrag abzuschliessen? Gemäss einem Entscheid der belgischen Datenschutz-Aufsichtsbehörde stehen der Verantwortliche und der Auftragsverarbeiter in der Pflicht.
Gemäss Art. 28 Abs. 3 DSGVO muss die Auftragsverarbeitung insbesondere vertraglich abgesichert werden. In Belgien hatte ein entsprechender Auftragsverarbeitungsvertrag (AVV) zum Zeitpunkt der einschlägigen Verarbeitung personenbezogener Daten gefehlt und war erst rückwirkend abgeschlossen worden.
Die belgische Datenschutz-Aufsichtsbehörde hält in diesem Zusammenhang unter anderem fest, dass die Pflicht, einen AVV abzuschliessen, nicht allein beim Verantwortlichen liegt:
«Die Verpflichtung, einen Vertrag abzuschließen […], liegt sowohl beim für die Verarbeitung Verantwortlichen […] als auch beim Auftragsverarbeiter […], und nicht allein beim für die Verarbeitung Verantwortlichen.»
Die Verpflichtung für den Verantwortlichen und den Auftragsverarbeiter bedeutet, dass der Auftragsverarbeiter nicht abwarten kann, ob der Verantwortliche auf einer vertraglichen Absicherung besteht. Der Auftragsverarbeiter muss selbst sicherstellen, dass ein erforderlicher AVV abgeschlossen wird.
Im belgischen Fall galt die Verpflichtung für den Auftragsverarbeiter insbesondere auch, weil der Auftragsverarbeiter im Massengeschäft tätig war:
«Die Verpflichtung, einen Vertrag abzuschließen […], liegt sowohl beim für die Datenverarbeitung Verantwortlichen (in diesem Fall der erste Beklagte) als auch beim Auftragsverarbeiter (in diesem Fall der zweite Beklagte) und nicht ausschließlich beim Verantwortlichen für die Datenverarbeitung.»
Und:
«Dies ist besonders relevant, wenn, wie im vorliegenden Fall, ein Auftragsverarbeiter seine spezialisierten Dienstleistungen einer Vielzahl von verschiedenen Verantwortlichen für die Datenverarbeitung anbietet. Es wäre nicht im Einklang mit der DSGVO (noch mit der tatsächlichen Situation vor Ort), anzunehmen, dass die Initiative zum Vertragsabschluss (und dessen Inhaltsvorschlag) ausschließlich vom Verantwortlichen für die Datenverarbeitung ausgehen sollte.»
Ein fehlender AVV, der zu einem späteren Zeitpunkt doch noch abgeschlossen wird, gilt nicht rückwirkend:
«Die Beschwerdekammer ist der Ansicht, dass die im Vertrag […] vorgesehene Rückwirkungsklausel nicht geeignet ist, das Fehlen eines Vertrages zum Zeitpunkt des Sachverhalts zu beheben. Würde eine solche Rückwirkung zugelassen, könnte dies faktisch ermöglichen, die zeitliche Anwendung der Verpflichtung aus Artikel 28.3 der DSGVO zu umgehen, die […] sowohl auf den Verantwortlichen für die Datenverarbeitung als auch auf den Auftragsverarbeiter lastet.»
Und:
«Die Verpflichtung, einen solchen Vertrag abzuschließen, dient zudem dazu, die Verantwortlichkeiten der jeweiligen Beklagten in ihrer Rolle als Verantwortlicher für die Datenverarbeitung einerseits und als Auftragsverarbeiter andererseits klar zu verteilen. Wie in Erwägungsgrund 79 der DSGVO hervorgehoben, zielt diese Verpflichtung auch darauf ab, den Schutz der Rechte und Freiheiten der betroffenen Personen zu gewährleisten, deren Daten im Rahmen der Beziehung, die der Verantwortliche für die Datenverarbeitung (in diesem Fall der erste Beklagte) und der Auftragsverarbeiter (in diesem Fall der zweite Beklagte) eingehen, geschützt sind. Dieser fehlende Schutz – obwohl von der DSGVO gefordert – kann nicht durch eine vertragliche Rückwirkungsklausel abgedeckt werden, die nur von den Beklagten zum Nachteil der Rechte der betroffenen Personen – die nicht Vertragsparteien sind – vereinbart wurde. Diese Rechte werden durch eine Norm gewährleistet, die auf europäischer Ebene gilt.»
Die Vertragsparteien, der Verantwortliche und der Auftragsverarbeiter, erhielten von der belgischen Datenschutz-Aufsichtsbehörde eine Rüge unter anderem wegen der Verletzung von Art. 28 Abs. 3 DSGVO.
Auftragsverarbeitung: Dürfen Kontrollen in Rechnung gestellt werden?
Quelle: Entscheid 137/2023 der Beschwerdekammer der belgischen Datenschutz-Aufsichtsbehörde vom 29. September 2023
(Via Peter Craddock; obige Zitate wurden mit der GPT-4-API aus dem französischen Original übersetzt und die Übersetzung danach ebenfalls mit der GPT-4 API korrigiert.)
Bild: Microsoft Bing Image Creator.