NU Consult Inh. N. Ulrich

30/06/2022, posted in Verantwortlicher und AuftragsverarbeiterGesonderte Entgeltpflicht für Kontrollen/Audit bei der Auftragsverarbeitung?

Im Rahmen seiner sog. „Aktuellen Kurzinformationen 6“ (AKI) wies der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) bereits 2018 auf einen Umstand hin, der die Parteien einer Auftragsverarbeitung beschäftigen kann.

Es kommt nicht selten vor, dass Vereinbarungen zur Auftragsverarbeitung vorsehen, dass es dem Auftraggeber nur gegen Zahlung eines besonderen Entgelts möglich sein soll, eine Vor-Ort-Kontrolle bei dem Auftragsverarbeiter durchzuführen.

So enthält bspw. auch das Muster der GDD unter Ziffer 7 (4) folgende Musterklausel:

„Für die Ermöglichung von Kontrollen durch den Auftraggeber kann der Auftragnehmer einen Vergütungsanspruch geltende machen„.

Der BayLfD wies in seiner damaligen AKI darauf hin, dass die Wahrnehmung der Kontrollrechte aus datenschutzrechtlicher Sicht nicht von einem besonderen Entgelt abhängig gemacht werden darf. Dies gelte gerade auch für Vor-Ort-Kontrollen beim Auftragsverarbeiter. Ein besonderes Entgelt würde einer Ausübung der Kontrollrechte entgegenwirken.

Die Vereinbarung eines Entgelts, einer Aufwandsentschädigung oder eines sonstiges Kostenbeitrags, auch die Vereinbarung, hierzu im Bedarfsfall nachträglich eines Regelung zu treffen, führe dazu, dass eine Inspektion beim Auftragsverarbeiter als etwas „Außergewöhnliches“ wahrgenommen werde, das dem Auftraggeber „eigentlich“ zustehe und gerade deshalb außerhalb der wechselseitigen Austauschbeziehung zu vergüten sei.

Unbenommen bleibe es dem Auftragsverarbeiter aber, die ihm durch Vor-Ort-Kontrollen seines Auftraggebers entstehenden Kosten von vornherein pauschal in das Angebot der vertraglichen Leistung einzupreisen.
Diese Bewertung aus den AKI 6 findet sich auch in dem 31. Tätigkeitsbericht des BaylfD unter Ziffer 2.3 wieder.

Unbestritten ist diese sehr restriktive Ansicht des BayLfD jedoch nicht. Eine Ansicht, die diese „Problematik“ erst gar nicht als datenschutzrechtliches „Problem“ erachtet, sondern der Auffassung ist, dass es der „Markt lösen“ sollte, kommt ebenfalls aus Bayern. In den FAQs des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA) wird die Frage „Darf ein Auftragsverarbeiter für Kontrollmaßnahmen des Auftraggebers Extrakosten verlangen?“ lapidar wie folgt beantwortet:
„Die Preisgestaltung für DV-Dienstleistungen nach Art. 28 DS-GVO ist primär eine zivilrechtliche Frage des Vertragsverhältnisses und, solange kein Rechtsmissbrauch vorliegt, Sache der Vertragspartner.„

Eine ebenfalls differenzierte Betrachtung der Fragestellung gibt es von dem Europäischen Datenschutzausschuss (EDSA). Der EDSA hat im Juli 2021 nach öffentlicher Konsultation seine überarbeitete Leitlinien 7/2020 zu den Begriffen des Verantwortlichen und des Auftragsverarbeiters in der Datenschutz-Grundverordnung veröffentlicht. Dort gibt es auch Ausführungen zu der Frage einer Entgeltpflicht für Kontrollen bei der Auftragsverarbeitung. Der EDSA weist darauf hin, dass die wirtschaftliche Gestaltung der Austauschbeziehung zwischen dem Verantwortlichen und dem Auftragsverarbeiter durch den Markt und nicht durch die Datenschutz-Grundverordnung reguliert wird. Dies bedeute auch, dass es dem Verantwortlichen unbenommen ist, ihm unterbreitete Angebote von Auftragsverarbeitern auf ihre Datenschutzfreundlichkeit zu prüfen und diesen Gesichtspunkt bei der Auswahl des Vertragspartners zu berücksichtigen. Der Verantwortliche werde zudem entsprechende Vorgaben in einen Ausschreibungstext aufnehmen können, wenn die benötigte Leistung in einem Vergabeverfahren beschafft wird. Der EDSA gibt zu bedenken, dass Kosten oder Gebühren Maßnahmen des Verantwortlichen nach Art. 28 Abs. 3 Satz 2 lit. h) DS-GVO behindern können.

Quelle: https://dataagenda.de/gesonderte-entgeltpflicht-fuer-kontrollen-audit-bei-der-auftragsverarbeitung/

written by Ulrich">Ulrich

Unsere letzten Artikel

DDG, TKG, TMG, TDDDG, TTDSG, DSA – Wie bitte, ich verstehe nur Bahnhof!

neue digitale Gesetze In der EU werden aktuell eine ganze Reihe neuer Gesetze und Verordnungen erlassen, die eine Auswirkung auf das digitale Leben haben. Hier kurz die Erläuterungen der Abkürzungen: DSA – Digital Service Act DDG – Digitale Dienste Gesetz TMG – Telemediengesetz TTDSG . Telekommunikations-Telemedien-Datenschutz-Gesetz TDDDG – Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz Das ist nur eine Auswahl von…

weiterlesen
Europäischer DNS Server

Ein DNS-Server ist wie ein Telefonbuch für das Internet. Ihre Anfrage, die sie in der URL eingeben, wird von einem DNS-Server empfangen, der die URL in eine IP-Adresse verwandelt und den passenden Webserver dazu (weltweit) kennt. Die weltweite Liste aller Webserver ist in einer DNS-Datenbank gespeichert, die sich über alle vorhandenen DNS-Server synchronisiert. Und da…

weiterlesen
Anwendungshinweise zum EU-US Data Privacy Framework

Anwendungshinweise zum EU-US Data Privacy Framework Am 10. Juli 2023 hat der Europäische Datenschutzausschuss den Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework angenommen. Dieser Beschluss markiert die Fortsetzung des Privacy-Shield-Abkommens, welches bereits im Juli 2020 vom Europäischen Gerichtshof in der Rechtssache „Schrems II“ wegen Unwirksamkeit für nichtig erklärt wurde. Der Angemessenheitsbeschluss ermöglicht seitdem die Übermittlung…

weiterlesen
Cookie-Einstellungen