DA+

Aufsatz : Auswahl und Überprüfung des Auftragsverarbeiters nach Art. 28 DS-GVO : aus der RDV 2/2024, Seite 70-76

Lesezeit 21 Min.

Erfolgt eine Verarbeitung personenbezogener Daten im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantie dafür bieten, dass geeignete technische und organisatorische Maßnahmen für den Datenschutz ergriffen werden. Diese sind so durchzuführen, dass die Datenverarbeitung im Einklang mit den Anforderungen der EU Datenschutz-Grundverordnung (DS-GVO) erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet. So regelt es Art. 28 Abs. 1 DS-GVO.

Der Verantwortliche kann diesen gesetzlichen Pflichten nur ausreichend nachkommen, wenn ihm gleichzeitig Kontrollbefugnisse zur Verfügung gestellt werden. Dementsprechend hat sich der Auftragsverarbeiter dem Verantwortlichen gegenüber vertraglich zu verpflichten, diesem alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DS-GVO geregelten Pflichten zu liefern. Flankiert werden die Kontrollrechte des Verantwortlichen durch entsprechende Duldungs- und Mitwirkungspflichten des Auftragsverarbeiters.

Die Norm ist Ausprägung einer besonderen Treuepflicht des Auftragnehmers gegenüber seinem Auftraggeber[1] Dieser Beitrag soll den Umfang und die Grenzen solcher Kontrollbefugnisse näher beleuchten.

I. Die Systematik des Art. 28 DS-GVO Art.  28 Abs.  1 DS-GVO

verlangt von dem Verantwortlichen, dass dieser nur solche Datenverarbeiter beauftragt, die datenschutzkonform arbeiten. Die Zusammenarbeit zwischen dem Verantwortlichen und seinem Auftragsverarbeiter ist in einem Vertrag oder in einem vergleichbaren Rechtsinstrument zu dokumentieren, der oder das konkrete Mindestinhalte aufzuweisen hat. Insbesondere muss sich der Auftragsverarbeiter darin verpflichten, dem Verantwortlichen erforderliche Informationen und Nachweise zur Verfügung zu stellen, die belegen, dass er die Pflichten des Art.  28 DS-GVO einhält. Dazu kann auch die Einhaltung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens herangezogen werden (Abs. 5). Der Auftragsverarbeiter hat Überprüfungen und Inspektionen des Verantwortlichen oder einer von ihm beauftragten Stelle zu dulden und daran mitzuwirken (Abs. 3 lit. h)), soweit solche vertraglich vereinbart sind. Die Auftragsverarbeiter dürfen weitere Unterauftragnehmer auch nicht ohne Zustimmung des Verantwortlichen einsetzen (Abs.  2). Kommt jedoch ein Unterauftragnehmer zum Einsatz, sind diesem dieselben Datenschutzpflichten aufzuerlegen (Abs. 4).

  1. Die Auswahl des Auftragsverarbeiters

Bei der Auswahl neuer Dienstleister im Rahmen einer Auftragsverarbeitung hat der Verantwortliche den Auftragsverarbeiter auf seine Geeignetheit hin zu prüfen. Der Auftraggeber hat in einer Erstprüfung festzustellen, ob die von ihm getroffene Auswahl möglicher Auftragnehmer für die vorgesehenen Aufgaben entsprechend befähigt ist. Diese Kontrolle kann entweder beim Auftragsverarbeiter vor Ort oder anhand von Unterlagen durchgeführt werden. Sie ist aber stets zu dokumentieren.

Hierzu muss der potenzielle Auftragsverarbeiter dem Auftraggeber einen Nachweis über die vorhandenen technischorganisatorischen Maßnahmen nach dem Stand der Technik (Art.  32 DS-GVO) beibringen. In der Regel enthält dieser ein Datenschutzkonzept sowie eine genaue Beschreibung der Maßnahmen. Der Nachweis kann auch durch entsprechende Zertifizierungen erbracht werden. Eine Integration in ein Informationssicherheitskonzept ist möglich und sinnvoll. Im Ergebnis hat also der Auftraggeber zu prüfen, ob die Maßnahmen des Auftragsverarbeiters ausreichend und angemessen sind, um die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der IT-Systeme zu gewährleisten[2] . Dabei sind der Umfang der Datenverarbeitung, die Kritikalität der Daten und die Häufigkeit der Datenverarbeitung für die Art und die Intensität der Kontrolle entscheidend.

  1. Mindestinhalt einer Vereinbarung zur Auftragsverarbeitung

Die Verordnung verlangt in Art.  28 einen Vertrag zwischen dem Verantwortlichen und seinem Auftragsverarbeiter oder ein gleichwertiges Rechtsinstrument, der den Auftragsverarbeiter bindet und Mindestregelungen enthält. Der Vertrag hat den Gegenstand und die Dauer der Verarbeitung zu regeln, die Art und den Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festzulegen. Insbesondere sind dem Auftragsverarbeiter die konkret unter Art. 28 Abs. 3 lit. a) – h) DS-GVO gelisteten Pflichten aufzuerlegen. So soll er die Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten und eine Verpflichtung seiner Mitarbeiter zur Vertraulichkeit gewährleisten. Er hat die nach Art.  32 DS-GVO erforderlichen Maßnahmen zu ergreifen und weitere Auftragsverarbeiter nur unter den in Art. 28 DS-GVO genannten Bedingungen einzusetzen. Außerdem hat er den Verantwortlichen mit den erforderlichen In formationen zu unterstützen, so dass dieser seinen eigenen gesetzlichen Verpflichtungen nachkommen kann. Insoweit verlangt lit.  h) vom Auftragsverarbeiter, dem Verantwortlichen alle Informationen zum Nachweis der in Art. 28 DS-GVO niedergelegten Pflichten zur Verfügung zu stellen und Überprüfungen des Verantwortlichen zu dulden und daran aktiv mitzuwirken. Solche Überprüfungen schließen auch Inspektionen vor Ort sowie Kontrollen eines vom Verantwortlichen beauftragten Prüfers mit ein. Die Verordnung sagt nichts zu Umfang und Modalitäten dieser Überprüfungsrechte. Deshalb empfiehlt es sich, nähere Regelungen in den Vertrag aufzunehmen, insbesondere über eine angemessene Ankündigung und eine Abstimmung mit dem Auftragnehmer über die maximale Häufigkeit und die Kostentragungspflicht.

  1. Die Überprüfung nach Art. 28 Abs. 3 lit. h) DS-GVO

Damit der Verantwortliche auch faktisch in der Lage ist, die Einhaltung der vertraglichen Verpflichtungen zu überprüfen, hat er sich also bestimmte Informations- und Kontrollrechte einräumen zu lassen. Der Verantwortliche hat sich verbindlich auszubedingen, dass der Auftragsverarbeiter ihm alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DS-GVO geregelten Pflichten zur Verfügung stellt[3] . Ansonsten droht dem Verantwortlichen eine Geldbuße nach Art. 83 Abs. 4 lit. a) DS-GVO, da ein Unterlassen dieser Maßnahme in der Regel zumindest einen Fahrlässigkeitsvorwurf begründen wird.[4] Der Auftragsverarbeiter muss die Überprüfungen des Verantwortlichen ermöglichen und aktiv daran mitwirken[5] .

Allerdings verpflichtet der Wortlaut des Art.  28 DS-GVO den Auftragsverarbeiter bloß zu einer beschränkten Pflichtenübernahme, also zu vertraglichen Mindestpflichten. Diese Pflichten sind detailliert aufgezählt:

  • Durchführung der technischen und organisatorischen Maßnahmen im Einklang mit den Anforderungen der DS-GVO (Abs. 1);
  • Keine Beauftragung von Sub-Auftragnehmern ohne Zustimmung des Verantwortlichen und nur nach Maßgabe der Bedingungen unter Art. 28 Abs. 2 und 4 (Abs. 2, Abs. 3 lit. d));
  • Verarbeitung personenbezogener Daten auf dokumentierte Weisung des Verantwortlichen (Abs. 3 lit. a));
  • Vertraulichkeitsverpflichtung der zur Verarbeitung befugten Personen, sofern nicht gesetzlich der Verschwiegenheit unterlegen (Abs. 3 lit. b));
  • Durchführung der nach Art. 32 DS-GVO erforderlichen Maßnahmen (Abs. 3 lit. c));
  • Unterstützung des Verantwortlichen bei dessen Pflichten gegenüber den Rechten der betroffenen Personen (Abs. 3 lit. e)) sowie dessen Pflichten nach Art. 32 bis 36 DS-GVO (Abs. 3 lit. f));
  • Datenlöschung oder Datenrückgabe nach Abschluss der Verarbeitungsleistungen (Abs. 3 lit. g));
  • Duldung und Mitwirkung an einer Nachprüfung durch den Verantwortlichen (Abs. 3 lit. h)).

Konkret heißt das: Der Verantwortliche hat nachzuweisen, dass der Auftragsverarbeiter die in Art.  28 DS-GVO niedergelegten und in einem Vertrag vereinbarten Pflichten – also insbesondere die technischen und organisatorischen Maßnahmen – tatsächlich auch durchführt. In dieser Phase der Kontrollen ist es somit nicht mehr die Aufgabe des Verantwortlichen, darüber hinaus zu bewerten, ob die allgemeinen Maßnahmen, die der Auftragsverarbeiter getroffen hat, um die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der IT-Systeme im Zusammenhang mit der Datenverarbeitung sicherzustellen, generell auch ausreichend und angemessen sind. Diese Bewertung wurde mit der Erstprüfung abgeschlossen. Nunmehr hat sich seine Prüfung nur noch darauf zu beschränken, ob die vereinbarten Maßnahmen und in Art.  28 DS-GVO aufgezählten Pflichten vom Auftragsverarbeiter auch effektiv umgesetzt wurden und durchgeführt werden.

a) Mitwirkungspflicht des Auftragsverarbeiters

Den Auftragsverarbeiter trifft über die Unterstützungspflichten von Art. 28 Abs. 3 S. 2 lit. e) und f) DS-GVO hinaus auch eine aktive Informationspflicht gegenüber dem Verantwortlichen zum Nachweis der Einhaltung der in Art.  28 DS-GVO festgelegten Vorgaben. Gerade in komplexen Vorgängen der Auftragsverarbeitung kann der Auftraggeber ohne eine solche Unterstützung diesen Nachweis kaum erbringen. Er läuft sonst Gefahr, den Überblick über die Datenverarbeitung zu verlieren und nur noch begrenzt nachvollziehen zu können, ob er seinen gesetzlichen Pflichten auch tatsächlich nachkommt. Indem der Auftragsverarbeiter ihm in diesem Zusammenhang alle relevanten Informationen zur Verfügung stellt, kann der Verantwortliche dieses nachvollziehen und nachweisen[6]. Die Norm ist daher Ausprägung einer besonderen Treuepflicht des Auftragnehmers gegenüber seinem Auftraggeber[7] und eine Folge der Komplexität der Auftragsverarbeitung.

Sollte sich aus den Umständen ergeben, dass eine VorOrt-Kontrolle erforderlich ist, um den Schutz personenbezogener Daten zu gewährleisten, muss diese möglich sein und entsprechend durchgeführt werden. Faktoren, die eine solche Kontrolle erforderlich machen, können das Gefährdungspotenzial für die betroffenen Personen, der Umfang der Datenverarbeitung oder die Sensibilität der verarbeiteten Daten sein[8].

Die Kontrollrechte des Verantwortlichen, die Informationspflicht und die Mitwirkungspflicht des Auftragsverarbeiters müssen im Vertrag bzw. in dem anderen Rechtsinstrument ausdrücklich festgelegt werden. Dabei sollte sich der Verantwortliche nicht zu einem besonderen Entgelt verpflichten lassen. Denn ein solches könnte, zumal wenn es unverhältnismäßig bemessen ist, die Wahrnehmung von Kontrollrechten faktisch behindern.[9]

Auch und insbesondere bei grenzüberschreitender Auftragsverarbeitung können Vor-Ort-Kontrollen durch den Verantwortlichen sehr aufwendig sein. Daher hat der Verordnungsgeber es nicht als zwingend erforderlich angesehen, dass sich der Verantwortliche durch eine eigene Inaugenscheinnahme vor Ort beim Auftragnehmer von der Einhaltung der Maßnahmen überzeugt. Die Möglichkeit hierzu hat er sich aber vertraglich bzw. durch andere verbindliche Regelungen vorzubehalten[10].

b) Angemessenheitsvorbehalt

Die DS-GVO verfolgt an vielen Stellen einen risikobasierten Ansatz. So hat auch der Verantwortliche bei der Auswahl der technischen und organisatorischen Maßnahmen für seine Datenverarbeitung die Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen und die Geeignetheit und Angemessenheit daran auszurichten. Der risikobasierte Ansatz stellt eine Reihe von Anforderungen an den Verantwortlichen, wobei ihm bei hohen Risiken zusätzliche Verpflichtungen durch die DS-GVO auferlegt werden. Im Einzelnen trifft den Verantwortlichen eine Risikobewertung in fünf Schritten:

  • Risikobeurteilung anhand objektiver Bewertung
  • Systematische Identifikation von Risiken, die mit einer Verarbeitung verbunden sind
  • Analyse der Risiken hinsichtlich Eintrittswahrscheinlichkeit und Schwere der Folgen
  • Qualitative Risikoklassifizierung (Feststellung, ob Risiko oder hohes Risiko)
  • Risikobehandlung durch geeignete (und wirksame) Maßnahmen.[11]

Erwägungsgrund (ErwG) 81 der Verordnung drückt diesen Ansatz darin aus, dass bei dem Vertrag zwischen Verantwortlichem und Auftragsverarbeiter die besonderen Aufgaben und Pflichten des Auftragsverarbeiters bei der geplanten Verarbeitung und das Risiko für die Rechte und Freiheiten der betroffenen Person zu berücksichtigen sind.

Der ordnungsrechtliche Rahmen weist also hier dem Verantwortlichen eine breite Konkretisierungs- und Ausgestaltungsverantwortung zu. Intensität und Mittel der Kontrollen müssen auf die jeweilige Konstellation hin angemessen konkretisiert werden. Maßgebende Parameter sind das Gefährdungspotenzial für die Betroffenen, der Umfang der Auftragsverarbeitung, die Innovationsgeschwindigkeit und die Sensibilität der verarbeiteten Daten, insbesondere aber auch das Kompetenzgefälle der am Auftrag beteiligten Rechtsträger[12].

Für die risikoadäquate Betrachtung ist also eine spezifische Beschreibung der technischen und organisatorischen Maßnahmen erforderlich. Dabei gilt: Je höher der Schutzbedarf der verarbeiteten personenbezogenen Daten ausfällt bzw. je höher ein Risiko für die Rechte und Freiheiten der Betroffenen ausfallen kann, desto präziser sind entsprechende technische und organisatorische Maßnahmen zu treffen. Für eine Verarbeitung von Daten nach Art. 9 Abs. 1 DS-GVO, sofern deren Verarbeitung umfangreich erfolgt, oder für Verarbeitungen zum Zweck des Profilings, sofern deren Verarbeitung systematisch und umfassend erfolgt, wird deshalb ein besonders sorgfältig erarbeitetes Schutzkonzept zu fordern sein.

Für die Überprüfung nach Art.  28 DS-GVO bedeutet das, dass dem Verantwortlichen alle nötigen Informationen zum entsprechenden Nachweis nach Abs.  3 lit.  h) zur Verfügung zu stellen sind. Diese vom Auftragsverarbeiter getroffenen Maßnahmen hat der Verantwortliche risikobasiert zu bewerten[13].

c) Nemo-tenetur-Grundsatz

Der Europäische Gerichtshof leitet in ständiger Rechtsprechung ein Selbstbelastungsverbot aus den Verfahrensgarantien gemäß Art.  6 Abs.  1 S.  1 EMRK ab, welche ein faires Verfahren gewährleisten sollen. Dieser sogenannte Nemotenetur-Grundsatz gilt zwar grundsätzlich nur im vertikalen Verhältnis gegenüber dem Staat, d.h. insbesondere im Strafrecht.

Nun verpflichtet die DS-GVO den Daten verarbeitenden Verantwortlichen zur Zusammenarbeit mit der für ihn zuständigen Datenschutzbehörde (Art. 31 DS-GVO). Er muss der Behörde Datenpannen melden (Art. 33 DS-GVO) und ist verpflichtet, Informationen bereitzustellen (Art.  58 Abs.  1 lit.  a) DS-GVO). Zudem unterliegt er einer umfassenden „Rechenschaftspflicht“ (Art. 5 Abs. 2 DS-GVO). All diese Verpflichtungen kollidieren mit der Selbstbelastungsfreiheit und dem Schweigerecht des Betroffenen, die sich aus Art. 6 EMRK und Art. 1 Abs. 1, 2 Abs. 1 und 20 Abs. 3 GG ergeben.[14]

Das Datenschutzrecht ging seit jeher einen Sonderweg bei den Auskunftspflichten, indem es den Auskunftspflichtigen in § 38 Abs. 3 S. 2 BDSG a.F. ein Auskunftsverweigerungsrecht gewährte, wenn sie sich durch eine Aussage der Gefahr einer strafrechtlichen Verfolgung oder eines Verfahrens nach dem OWiG aussetzen würden. Diese Regelung wurde in § 40 Abs. 4 S. 2 BDSG n.F. wortgleich übernommen. Verfassungsrechtlich ist die Selbstbelastungsfreiheit durch das Aussageverweigerungsrecht des §  40 Abs.  4 S.  2 BDSG also ebenso umfassend wie abschließend gesichert[15].

Jedoch ist die Mitwirkungspflicht des Auftragsverarbeiters gegenüber dem Verantwortlichen oder einem externen Prüfer davon nicht unmittelbar erfasst[16]. Denn eine solche Mitwirkungspflicht besteht nicht ex lege, sondern ist bloß rechtsgeschäftlich begründet. Der Auftragsverarbeiter kann sich aber gegenüber dem Verantwortlichen in einer vergleichbaren (faktischen) Zwangslage befinden. Zum Beispiel dann, wenn seine Auskünfte in voraussehbarer Weise in ein Sanktionsverfahren der Aufsichtsbehörde münden. Dann kann es angezeigt sein, den Nemo-tenetur-Grundsatz auf außerstaatliche „Inspektionen“ zu erweitern bzw. den privaten Zwang zur Selbstbelastung in diesen Fällen dem Staat zuzurechnen. Der Auftragsverarbeiter müsste sich somit nicht selbst eines sanktionsrechtlich relevanten Verhaltens bezichtigen. Ihm kommt nach der (noch restriktiven) Rechtsprechung des EuGH allerdings ein „Geständnisverweigerungsrecht“ zu: Der Auftragsverarbeiter muss alle erforderlichen Auskünfte erteilen, selbst wenn sie den Beweis für ein datenschutzwidriges Verhalten erbrächten. Seine Verteidigungsrechte sind in dieser Lesart erst dann beeinträchtigt, wenn der Auftragsverarbeiter eine Zuwiderhandlung selbst (positiv) eingestehen müsste[17].

Auch gilt die bisherige Nemo-tenetur-Rechtsprechung des EuGH nur zugunsten natürlicher Personen. Diese einschränkende Rechtsprechung wird damit begründet, dass der Grundsatz „bei natürlichen Personen (auch) einen Ausfluss aus der Menschenwürde“ bilde und diese Komponente bei juristischen Personen fehle[18]. Die Bestimmungen des § 40 Abs. 4 S. 2 BDSG gelten hingegen nicht nur für natürliche Personen. Das BDSG unterscheidet in diesen Vorschriften nämlich nicht zwischen natürlichen und juristischen Personen und gewährt daher auch in dieser Hinsicht in weit größerem Umfang Aussageverweigerungsrechte und Verwertungsverbote, als dies verfassungsrechtlich geboten ist[19].

d) Ausgestaltung der Inspektionen

Für die Ausgestaltung einer Nachprüfung gibt es keine allgemeingültige Vorgabe. Vielmehr hat der Verantwortliche einen breiten Konkretisierungs- und Ausgestaltungsraum. Die Intensität und Mittel der Kontrollen müssen auf die jeweilige Konstellation hin nur angemessen konkretisiert werden[20].

Es muss letztlich nur gewährleistet sein, dass sich der Verantwortliche gem. Art. 28 Abs. 1 DS-GVO fortlaufend von der Ordnungsmäßigkeit der Auftragsverarbeitung überzeugen kann. Eigene Prüfungen des Verantwortlichen vor Ort sind nicht zwingend erforderlich. Die Möglichkeit hierzu muss dem Verantwortlichen jedoch in dem Vertrag oder anderem Rechtsinstrument eingeräumt werden[21]. Der Verantwortliche hat sich also in ausreichendem Umfang von der tatsächlichen Einhaltung der vertraglichen Verpflichtungen, insbes. den getroffenen technischen und organisatorischen Maßnahmen, zu überzeugen. Die Möglichkeiten reichen insoweit von der Anforderung hinreichend aussagekräftiger Informationen zur konkreten Umsetzung bis hin zur Durchführung entsprechender Kontrollen beim Auftragsverarbeiter.

Die dänische Aufsichtsbehörde hat dafür eine pragmatische Orientierungshilfe zur Verfügung gestellt[22]. Mit ihrem Modell zur Kontrolle von Auftragsverarbeitern empfiehlt sie – ähnlich den Modellen zu einer Datenschutz-Folgenabschätzung – einen iterativen Prozess: Nach Prüfung der Erforderlichkeit einer Kontrolle erfolgt eine Klassifizierung des Auftragsverarbeiters. Sodann werden risikoorientiert die Prüfmethode und die Prüfintervalle festgelegt.

Bei juristischen Personen gilt zu beachten, dass das Unternehmen auditiert wird. Also müssen die zuständigen Mitarbeiter, die das Managementsystem des Unternehmens betreiben, die Fragen des Auditors beantworten. Die Antworten müssen von den jeweiligen Fachverantwortlichen und deren Mitarbeitern beantwortet werden.

Der Auditor ist dabei an die gesetzlichen Vorgaben gebunden. D.h. er hat lediglich die Nachweise und Informationen zu prüfen, die zur Einhaltung der in Art. 28 DS-GVO festgelegten Pflichten zur Verfügung gestellt wurden. Leider ist in der Praxis immer wieder zu beobachten, dass Prüfungen oftmals uferlos ausgeweitet werden. Auditoren, die besonders in Systemaudits nach ISO 19011 bewandert sind, greifen oftmals allzu gerne auf ihre bewährten Werkzeuge und Checklisten zurück, um eine gründliche Prüfung nach Art. 28 DS-GVO durchzuführen. Nicht selten erlebt man, dass in diesem Zusammenhang die befragten Mitarbeiter und auch der Datenschutzbeauftragte des Auftragsverarbeiters auf ihre fachliche Geeignetheit hin examiniert werden. Das mag für eine Erstprüfung zur Auswahl eines Auftragsverarbeiters noch hinnehmbar sein. Bei den regelmäßigen Folgekontrollen übersteigt ein solches Maß jedoch in der Regel die vertraglich vereinbarten Kontrollrechte bei weitem.

Um den Erfolg des Audits nicht zu gefährden, ist es deshalb ratsam, in solchen Fällen etwa danach zu fragen, aus welcher Norm sich die vom Auditor möglicherweise genannte Anforderung ergibt. Kommunikationskultur spielt hier eine wichtige Rolle[23].

Es empfiehlt sich, das Ergebnis der durchgeführten Kontrollen zu protokollieren, damit ggf. zu einem späteren Zeitpunkt ein Nachweis gegenüber den Aufsichtsbehörden geführt werden kann. Somit lässt sich festhalten, dass sich im Wesentlichen nichts an der bisherigen Rechtslage ändert und entsprechende vertragliche Vereinbarungen weiterhin erforderlich und zulässig sind[24].

  1. Zertifizierungen

Nicht nur im Rahmen der Auswahl des Auftragnehmers nach Art.  28 Abs.  1, sondern auch im laufenden Auftragsverhältnis kann die Einhaltung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfahrens durch einen Auftragsverarbeiter als Faktor herangezogen werden, um hinreichende Datenschutzgarantien im Auftragsverhältnis nachzuweisen[25]. So ist aus Art.  28 Abs.  5 DS-GVO herauszulesen, dass die Einhaltung eines genehmigten Zertifizierungsverfahrens als Faktor herangezogen werden kann, um hinreichende Garantien des Auftragsverarbeiters nachzuweisen, eine Überprüfung durch den Verantwortlichen aber nicht vollständig ersetzt[26].

Anleitungen, wie der Verantwortliche oder Auftragsverarbeiter geeignete Maßnahmen durchzuführen hat und wie die Einhaltung der Anforderungen nachzuweisen ist, könnten gem. ErwG 77 DS-GVO insbesondere auch in Form von genehmigten Zertifizierungsverfahren oder Verhaltensregeln gegeben werden. Insbesondere was die Ermittlung des mit der Verarbeitung verbundenen Risikos, dessen Abschätzung in Bezug auf Ursache, Art, Eintrittswahrscheinlichkeit und Schwere und die Festlegung bewährter Verfahren für dessen Eindämmung anbelangt, könnten so pragmatisch nachgewiesen werden. Art. 42 DS-GVO sieht Zertifizierungsverfahren für Verarbeitungsvorgänge vor, die ausschließlich von akkreditierten Zertifizierungsstellen durchgeführt werden können.

Damit stellt die Verordnung die Grundlagen für ein einheitliches europäisches Akkreditierungs- und Zertifizierungsverfahren zur Verfügung. Leider gibt es auch fünf Jahre nach Wirksamwerden der DS-GVO noch keine einzige akkreditierte Zertifizierungsstelle, die ein echtes DS-GVO-Zertifikat ausstellen könnte. Daneben ist die Suche nach international anerkannten Zertifizierungen hoch. Zum jetzigen Zeitpunkt kann die Zertifizierung nach ISO 27001 von Unternehmen herangezogen werden. Diese Zertifizierung bietet die Möglichkeit, ein professionelles Sicherheitsmanagement im Unternehmen aufzubauen und zu etablieren. Eine Zertifizierung nach ISO 27001 erhöht die Vollständigkeit und Richtigkeit von technischen und organisatorischen Maßnahmen, welche insbesondere gem. Art. 32 DS-GVO gefordert sind. Aber auch eine erweiterte Zertifizierung nach ISO 27701 ist keine eigenständige Zertifizierung nach der DS-GVO und entspricht nicht dem Art. 43 DS-GVO. Allerdings stehen in Deutschland mit dem Trusted Data Processor[27] Verhaltensregeln für Auftragsverarbeiter zur Verfügung, die Anforderungen nach Art.  28 DS-GVO beschreiben. Auftragsverarbeiter, die sich auf die Einhaltung dieser Regeln verpflichten, können damit einen wesentlichen Faktor im Rahmen der Art. 28-Garantien bewirken.[28]

Gleichwohl sind schon heute Drittkontrollen wie Auditierungen und Zertifizierungen ein ganz wesentlicher zusätzlicher Parameter für die Nachprüfung nach Art. 28 Abs. 3 DS-GVO. Bei genehmigten Zertifizierungsverfahren oder Verhaltensregeln wird dann sogar eine vollständige Substitution der Eigenkontrolle möglich sein.

II. Die Rolle des DSB

Art.  28 DS-GVO fordert von dem Verantwortlichen, seine Auftragsverarbeiter regelmäßig daraufhin zu überprüfen, ob die vertraglich zugesicherten Garantien weiterhin wirkungsvoll umgesetzt werden und der Auftragsverarbeiter noch die Einhaltung seiner Pflichten nachweisen kann. Der Datenschutzbeauftragte, der laufend den Verantwortlichen berät und auf sein datenschutzkonformes Verhalten hin überwacht, steht auch bei einer Inspektion „auf der Seite“ des Verantwortlichen. Er kann mit eigenen Überwachungsdokumenten oder Hinweisen die erforderlichen Nachweise des Verantwortlichen verstärken. Allerdings sollte er während einer Nachprüfung nicht allzu aktiv werden. Er darf nicht den Eindruck erwecken, dass das Unternehmen sein eigenes Managementsystem nicht kennt. Wenn der anwesende Datenschutzbeauftragte allzu engagiert in das Audit eingreift oder womöglich den Auditor maßregelt, kann dies Auswirkungen auf den Fortgang des Audits haben[29].

Der Datenschutzbeauftragte des Auftragsverarbeiters unterstützt und berät diesen bei einer Überprüfung. Denn aufgrund seiner vorausgegangenen Beratungsleistungen trifft ihn eine gewisse Mitverantwortung für die datenschutzrechtlichen Maßnahmen des Auftragsverarbeiters. Eine Nachprüfung der Sachkompetenz des zuständigen Datenschutzbeauftragten würde allerdings die zulässige Grenze einer Auditierung überschreiten.

III. Abgrenzung zu sonstigen Datenschutzaudits

Das Gesetz enthält zwar keine spezifischen Vorgaben in Bezug auf Art und Umfang solcher Überprüfungen und die damit verbundenen Duldungs- und Mitwirkungspflichten des Auftragsverarbeiters. Letztlich muss aber gewährleistet sein, dass sich der Verantwortliche gem. Art.  28 Abs.  1 DS-GVO fortlaufend von der Ordnungsmäßigkeit der Auftragsverarbeitung überzeugen kann.

Mangels konkreter gesetzlicher Anforderungen an Inhalt und Umfang eines datenschutzrechtlichen Audits, greifen Auditoren dabei allzu gerne auf die allgemein zur Verfügung gestellten Checklisten und Fragebögen zurück. Das ist aber aus mehreren Gründen nicht konform mit den Anforderungen aus der DS-GVO. Die bisherigen Ausführungen zeigten den Rahmen einer Nachprüfung nach Art.  28 DS-GVO auf. Zum einen beschränkt schon der Wortlaut des Art. 28 DS-GVO den Umfang eines Datenschutzaudits. Zum anderen hat jede Kontrolle den Angemessenheitserfordernissen des Datenschutzrechts zu genügen. Kontrollen sind nur in dem Umfang angemessen, wie sie zu den Risiken für die Rechte der betroffenen Personen verhältnismäßig sind und sie sich auf das vertraglich Vereinbarte zum konkreten Auftrag beziehen.

Denn beim Einsatz eines Auftragsverarbeiters ist zu unterscheiden: Geht es um die Auswahl des richtigen Auftragnehmers, dann hat der Verantwortliche darauf zu achten, dass der Auftragsverarbeiter hinreichende Garantien dafür bietet, dass er geeignete technische und organisatorische Maßnahmen wählt, um den Anforderungen der DS-GVO gerecht zu werden. Diese Garantien sind in einem Vertrag festzuhalten und haben den Mindestanforderungen des Art. 28 DS-GVO zu entsprechen. Haben sich der Verantwortliche und sein Auftragsverarbeiter dem entsprechend vertraglich gebunden, dann geht es bei den nachfolgenden Überprüfungen allein noch um die Einhaltung der abgegebenen Garantien.

IV. Fazit und vertraglicher Regelungsvorschlag

Der Auftragsverarbeiter hat sich gegenüber dem Verantwortlichen vertraglich zu verpflichten, in dem laufenden Auftragsverhältnis nachzuweisen, dass die mit ihm vereinbarten technischen und organisatorischen Maßnahmen tatsächlich auch durchgeführt werden. In dieser Phase der Kontrollen ist es nicht mehr die Aufgabe des Verantwortlichen oder des von diesem beauftragten Auditors, zu bewerten, ob die allgemeinen Maßnahmen des Auftragsverarbeiters, die dieser getroffen hat, um die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der IT-Systeme im Zusammenhang mit der Datenverarbeitung sicherzustellen, generell auch ausreichend und angemessen sind. Vielmehr hat sich seine Prüfung darauf zu beschränken, ob die vertraglich vereinbarten Maßnahmen effektiv durchgeführt werden.

Da sich in der Regelung des Art.  28 DS-GVO keine näheren Angaben zur Ausgestaltung der Art und des Umfangs der Überprüfungen und ihrer Dokumentation finden, stellt sich gerade in der Praxis die Frage der korrekten Ausgestaltung der vertraglichen Regelungen[30]. Eine solche Regelung könnte wie folgt aussehen:

§ X Kontrollrechte[31]

(1) Der Auftraggeber ist berechtigt, sich in Abstimmung mit dem Auftragnehmer durch Überprüfungen von der Einhaltung dieser Vereinbarung und insbesondere von der Umsetzung und Einhaltung der technischen und organisatorischen Maßnahmen gemäß §  X dieser Vereinbarung durch den Auftragnehmer zu überzeugen. Hierzu hat er das Recht, Auskünfte des Auftragnehmers einzuholen, sich vorhandene Testate von Sachverständigen, Zertifizierungen oder internen Prüfungen vorlegen zu lassen. Bei begründetem Anlass ist der Auftraggeber auch zu Stichprobenkontrollen berechtigt, die in der Regel rechtzeitig anzumelden sind und während der üblichen Geschäftszeiten im Betrieb des Auftragnehmers stattfinden. Solche Überprüfungen oder Kontrollen kann der Auftraggeber auf eigene Kosten selbst vornehmen oder durch einen sachkundigen Dritten durchführen lassen, sofern dieser nicht in einem Wettbewerbsverhältnis zum Auftragnehmer steht.

(2) Der Auftragnehmer stellt sicher, dass sich der Auftraggeber von der Einhaltung der Pflichten des Auftragnehmers nach Art.  28 DS-GVO überzeugen kann. Der Auftragnehmer verpflichtet sich, dem Auftraggeber auf Anforderung die erforderlichen Auskünfte zu erteilen und insbesondere die Umsetzung der technischen und organisatorischen Maßnahmen nachzuweisen.

(3) Der Auftraggeber wird Kontrollen nur im erforderlichen Umfang unter angemessener Berücksichtigung des Gefährdungspotenzials für die betroffenen Personen, den Umfang der Datenverarbeitung und die Sensibilität der verarbeiteten Daten durchführen und angemessene Rücksicht auf die Betriebsabläufe des Auftragnehmers nehmen. Eine wiederholte Kontrolle sollte nicht vor einem Ablauf von zwei Jahren nach der letzten Kontrolle erfolgen. Über den Zeitpunkt sowie die Art der Prüfung verständigen sich die Parteien rechtzeitig.

(4) Der Auftraggeber dokumentiert das Kontrollergebnis und teilt es dem Auftragnehmer mit. Bei Fehlern oder Unregelmäßigkeiten, die der Auftraggeber insbesondere bei der Prüfung von Auftragsergebnissen feststellt, hat er den Auftragnehmer unverzüglich zu informieren. Werden bei der Kontrolle Sachverhalte festgestellt, deren zukünftige Vermeidung Änderungen des angeordneten Verfahrensablaufs erfordern, teilt der Auftraggeber dem Auftragnehmer die notwendigen Verfahrensänderungen unverzüglich mit.

Dr. Eduard Wessel
berät als Rechtsanwalt insbesondere
kleine und mittlere Unternehmen im
Datenschutz- und IT-Recht.

[1] Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO, Art. 28 Rn. 52

[2] Witt, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, 3. Aufl. 2021, Teil G Kap. I. 5.

[3] Gola/Heckmann/Klug, 3. Aufl. 2022, DS-GVO Art. 28 Rn. 11.

[4] Zu schuldhaften datenschutzrechtlichen Verstößen des Verantwortlichen s. zuletzt EuGH vom 05.12.2023, C-683/21.

[5] BeckOK DatenschutzR/Spoerr DS-GVO Art. 28 Rn. 82; Sydow/Marsch DS-GVO/ BDSG/Ingold, 3. Aufl. 2022, DS-GVO Art. 28, Rn. 71.

[6] BeckOK DatenschutzR/Spoerr DS-GVO Art. 28 Rn. 81

[7] Paal/Pauly/Martini, 3. Aufl. 2021, DS-GVO Art. 28 Rn. 52.

[8] Taeger/Gabel/Gabel/Lutz, 4. Aufl. 2022, DS-GVO Art. 28 Rn. 56.

[9] LfD Bayern, Kurz-Information 6 vom 15.11.2021

[10] Gola/Heckmann/Klug, 3. Aufl. 2022, DS-GVO Art. 28 Rn. 11

[11] Maldoff, Gabriel: The Risk-based approach in the GDPR – Interpretation and Implications, IAPP, 2016.

[12] BeckOK DatenschutzR/Spoerr DS-GVO Art. 28 Rn. 84

[13] Witt, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, 3. Aufl. 2021, Teil G Kap. I. 5.

[14] Vgl. BVerfG, Beschl. v. 06.09.2016, Az. 2 BvR 890/16, Rdnr. 33 f. m.w.N

[15] CR-online.de Blog 2019, Härting/Konrad, „Warum Schweigen Gold sein kann: Auskunftsersuchen der Datenschutzbehörden“

[16] Paal/Pauly/Martini, DS-GVO BDSG, 3. Aufl. 2021, Art. 28 Rn. 3.

[17] Paal/Pauly/Martini, DS-GVO BDSG, 3. Aufl. 2021, Art. 28 Rn. 3 mit Verweis auf EuGH, Urt. v. 18.10.1989 – 374/87.

[18] Weber, Das Selbstbelastungsverbot zugunsten juristischer Personen, in: suigeneris 2017, S.42

[19] CR-online.de Blog 2019, Härting/Konrad, „Warum Schweigen Gold sein kann: Auskunftsersuchen der Datenschutzbehörden“.

[20] BeckOK DatenschutzR/Spoerr DS-GVO Art. 28 Rn. 83 f.

[21] Taeger/Gabel/Gabel/Lutz, 4. Aufl. 2022, DS-GVO Art. 28 Rn. 56

[22] Https://www.datatilsynet.dk/Media/637710957381234368/Datatilsynet_Vejledning%20om%20tilsyn%20 med%20databehandlere_oktober-2021.pdf.

[23] Müller, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, 3. Aufl. 2021, Teil C Kap. IV. 1., § 10 Der Berater des auditierten Unternehmens.

[24] Kühling/Buchner/Hartung, 3. Aufl. 2020, DS-GVO Art. 28 Rn. 78.

[25] Gola/Heckmann/Klug, 3. Aufl. 2022, DS-GVO Art. 28 Rn. 11.

[26] Taeger/Gabel/Gabel/Lutz, 4. Aufl. 2022, DS-GVO Art. 28 Rn. 56.

[27] Https://www.verhaltensregel.eu/verhaltensregel/.

[28] Die Verhaltensregel ist vom Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg genehmigt und trägt damit einen gewissen offiziellen Stempel.

[29] Müller, in: Koreng/Lachenmann, Formularhandbuch Datenschutzrecht, 3. Aufl. 2021, Teil C Kap. IV. 1., § 10 Der Berater des auditierten Unternehmens.

[30] Schröder, Datenschutzrecht für die Praxis, 2. Kapitel, II. 1. d)

[31] S.  auch GDD-Praxishilfe DS-GVO – Mustervertrag zur Auftragsverarbeitung gemäß Art.  28 DS-GVO, Version 2.1, Stand Juni 2021 sowie Hoffmann in Beck´sche Online-Formulare IT- und Datenrecht, 16. Edition 2023, Stand: 01.08.2023.