linkedIn Logo   LINKEDIN
facebook LogoFACEBOOK
XING LogoXING
07.Februar 2022 | Team Datenschutz | Thema: Datenschutz

Die kleine Reihe: Auftragsverarbeitung Teil 5 Kostentragungsregelungen

Schlagwörter: Auftragsverarbeitung | DSGVO | kleine Reihe

Häufiger Streitpunkt in Auftragsverarbeitungsverträgen sind Kostentragungsregelungen hinsichtlich der durch die Ausübung von Kontrollrechten (Vor-Ort-Inspektionen – Art. 28 Abs. 3 Satz. 2  lit. h DSGVO) entstehenden Kosten. Auftragsverarbeiter lassen sich gerne das Recht einräumen, die Kosten für Überprüfungen und Inspektionen dem Auftraggeber aufzuerlegen. Dieses Thema soll uns nun zum Abschluss unserer kleinen Reihe beschäftigen.

Nach Art. 28 Abs. 3 Satz 2 lit. h DSGVO hat ein Auftragsverarbeitungsvertrag (AV-Vertrag) vorzusehen, dass der Auftragsverarbeiter dem Verantwortlichen (Auftraggeber) alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen – , die vom Auftraggeber oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.

Seit Geltung der DSGVO im Jahr 2018 wird diskutiert, ob und inwieweit AV-Verträge für den Fall der Wahrnehmung von Kontrollrechten des Auftraggebers – insbesondere im Fall einer Vor-Ort-Kontrolle – ein gesondertes Entgelt vorsehen können.

Aus Sicht des Auftragsverarbeiters sind gesonderte Entgelte ein sinnvolles Instrument, um möglichen Übereifer auf Seiten des Auftraggebers auszubremsen. Aus Sicht des Auftraggebers sind solche Kostentragungsregelungen hingegen problematisch, weil er hierdurch gehindert werden könnte, seine ihm zustehenden Kontrollpflichten wahrzunehmen. Beides verständlich – nur welche Argumente gibt es als betroffener Auftragsverarbeiter bzw. Auftraggeber für oder gegen solche Regelungen?

EDPB zur Frage einer Entgeltpflicht für Kontrollen

Hilfe zu dieser Fragestellung kommt vom Europäischen Datenschutzausschuss (European Data Protection Board). Der hat in seinen überarbeiteten „Guidelines 07/2020 on the concepts of controller and processor in the GDPR“ (PDF) dazu Stellung genommen.

Die Kernaussagen der Leitlinie

  • Grundsatz Vertragsautonomie: Die Gestaltung von Verträgen in ihren wirtschaftlichen Aspekten wird nicht durch die DSGVO reguliert, sondern von den Vertragsparteien selbst. Das bedeutet, dass ein Auftraggeber bei einem ihm unterbreiteten Angebot auch berücksichtigen kann, ob der Auftragsverarbeiter für Kontrollen eine Entgeltpflicht vorsieht.
  • Keine „abschreckende Wirkung“: Der Europäische Datenschutzausschuss gibt jedoch zu bedenken, dass Kosten für Kontrollen den Auftraggeber davon abhalten könnten, solche Inspektionen durchzuführen. Es ist also für jeden Einzelfall zu prüfen, ob eine Kostentragungsregelung zu Maßnahmen nach Art. 28 Abs. 3 S. 2 Buchst. h DSGVO unverhältnismäßig ist oder ein überhöhtes Entgelt vorsieht und daher eine abschreckende Wirkung hat. In der Praxis sollte besonders darauf geachtet werden, dass solche Entgelte vor allem nach Höhe und Anfall transparent sind und haushaltsmäßig eingeplant werden können.
  • Überhöhtes Entgelt: Ein eindeutig überhöhtes Entgelt kann insbesondere darauf beruhen, dass der tatsächliche Aufwand beim Auftragsverarbeiter zu den vereinbarten Kosten oder Gebühren in einem grob unangemessenen Verhältnis steht (so etwa bei „Phantasiepreisen“ für den Einsatz personeller oder sachlicher Ressourcen oder bei der „Erfindung“ von Kontrollgebühren).
  • Soweit ein Auftragsverarbeiter die Befürchtung hat, dass er insbesondere durch Vor-Ort-Kontrollen des Auftraggebers Belastungen ausgesetzt wird, welche den vertraglichen Leistungsaustausch aus dem Gleichgewicht bringen, kann er den erwartbaren Mehraufwand bei der Preiskalkulation pauschal berücksichtigen. Ergänzend kommen vertragliche Regelungen in Betracht, dass eine Vor-Ort-Kontrolle grundsätzlich mit einer bestimmten Frist anzukündigen ist, oder dass anlasslose Inspektionen mengenmäßig kontingentiert sind. Solche Regelungen stehen im Einklang mit der DSGVO.

Fazit

Nimmt Euer Unternehmen Leistungen von Auftragsverarbeitern in Anspruch, sollten vertragliche Regelungen, die ein gesondertes Entgelt für Kontrollen des Auftraggebers vorsehen, stets kritisch geprüft werden. Solche Klauseln dürfen nicht dazu führen, dass der Auftraggeber davon abgehalten wird, Maßnahmen nach Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO – insbesondere Vor-Ort-Inspektionen – durchzuführen. Grundsätzlich gilt: Kein Auftraggeber muss solche Kostentragungsregelungen akzeptieren. Sie stellen andererseits aber auch per se keinen Verstoß gegen die DSGVO dar. Außer sie entfalten im Einzelfall tatsächlich eine „abschreckende Wirkung“.

Aufgrund der Komplexität der Thematik wird zur besseren Verständlichkeit in dieser „Kleinen Reihe“ nicht gegendert. Sämtliche Geschlechter sind mit gemeint.

Teil 4

 

zurück
Themen
Schlagwörter
Girls-DayDSGVORechtsgrundlagenTADPFSicherheitTippsEuGH-UrteilRechtsprechungprocado-internEU-RichtlinieGesetzSicherheitsrisikoKommentarkleine ReiheSocial MediaDatenschutzverstossBussgeldAkademieIHKSchulungenManaged Service ProviderMSPVerarbeitungsverzeichnisDatentransferEU-US Privacy Shield 2.0IT-SicherheitIT-SupportCybercrimePhishingSocial EngeneeringAufsichtsbehördenMicrosoft 365AbmahnungGoogle Fontsprivate E-Mail-NutzungTKGLogistikTrackingOffenlegungRechtswidrige AnfragenTransparenzberichtHistorischesAuftragsverarbeitungMonitoringCovidkuriosesJobJahresrückblick
Die kleine Reihe: Rechtsgrundlagen Teil 3 Rechtliche VerpflichtungDie kleine Reihe: Rechtsgrundlagen Teil 4 Datenverarbeitung im Beschäftigt...