DA+

Aufsatz : Inhaltliche Herausforderungen bei der Auftragsverarbeitung nach Art. 28 DS-GVO : aus der RDV 4/2021, Seite 186 bis 194

Für die Praxis bedeutsame Vertragsgestaltung und deren mögliche Grenzen

Lesezeit 31 Min.

Eine elementare Rolle im Datenschutzrecht nehmen Verträge über die Auftragsverarbeitung nach Art. 28 DS-GVO ein. Deren Ausgestaltung ist selbst zwischen zwei Unternehmen jedoch nicht grenzenlos. Sowohl die Vorgaben aus der DS-GVO als auch die AGB-Kontrolle aus §§ 307 ff. BGB legen den Beteiligten rechtliche Bandagen an.

I. Einleitung

Verträge zur Auftragsverarbeitung (AV-Verträge) treten in der unternehmerischen Praxis in verschiedenen Formen in Erscheinung. So fällt die Nutzung von Software „aus der Cloud“[1] ebenso darunter wie die Auslagerung zum Versenden eines Newsletters oder die Aktenvernichtung.[2] Für all diese Dienste ist der Verantwortliche gehalten, einen datenschutzrechtlichen Vertrag nach Art. 28 Abs. 3 DS-GVO mit dem externen Dienstleister abzuschließen. Die Praxis zeigt, dass auch noch Jahre nach Inkrafttreten der DS-GVO Unklarheit über die Ausgestaltung der gesetzlichen Vorgaben besteht und dies bisweilen zu schwierigen Vertragsverhandlungen führen kann.

1. Auswahl des Vertragspartners

Dabei gilt es zu bedenken, dass der Verantwortliche bei seiner Auswahlentscheidung über den Einsatz eines Auftragsverarbeiters nicht (rechts)frei ist, sondern „er auch bei seiner Auswahl von Dienstleistern seine Verantwortlichkeit wahrzunehmen und zu prüfen [hat], ob bei der Inanspruchnahme des Auftragsverarbeiters eine rechtmäßige und sichere Verarbeitung gewährleistet ist.“[3] Somit sind solche Erwägungen einzubeziehen, die nach objektiven Kriterien einer Überprüfung standhalten.[4] Gleichwohl trifft nunmehr nach dem Verständnis der DS-GVO beide Parteien die Verpflichtung zum Abschluss eines entsprechenden Vertrages.[5]

2. Form des Vertragsschlusses

Der Abschluss des Vertrages in formeller Hinsicht kann dabei in vielfältiger Weise geschehen. Denn nach der Abkehr vom (strengen) Schriftformerfordernis unter der alten Rechtslage[6] ist nach Art. 28 Abs. 9 DS-GVO nun auch ein „elektronisches Format“ zulässig.[7] Was darunter genau zu verstehen ist, ließ der Verordnungsgeber offen; so finden sich weder im Gesetzestext selber noch in den Erwägungsgründen ergänzende Hinweise oder Konkretisierungen hierzu. Nach Art. 28 Abs. 3 S. 1 DS-GVO wird lediglich ein Vertrag „nach dem Unionsrecht oder dem Recht der Mitgliedstaaten“ erfordert.

Soweit ersichtlich, findet sich auch in anderen einschlägigen EU-Verordnungen keine Definition des elektronischen Formats. Der Klärung dieser Frage am nächsten kommt wohl eine Norm aus dem Vergaberecht, namentlich die Durchführungs-Verordnung 2016/7/EU,[8] die darauf schließen lässt, dass weder ein bestimmtes Dateiformat noch eine spezifische Verschlüsselung oder Signatur dafür erforderlich ist. So ließ auch die Europäische Kommission auf Anfrage verlautbaren, dass ein wirksamer Vertragsschluss nach Art. 28 DSGVO es nicht zwingend voraussetze, dem Vertragsdokument eine elektronische Signatur beizufügen; dies sei lediglich eine unter mehreren Möglichkeiten.[9]

In der Praxis am häufigsten anzutreffen sind bisher die folgenden Methoden:

  • die Nutzung von Signatur-Diensten wie z.B. DocuSign;
  • das Anklicken einer Checkbox auf einer Webseite mit Protokollierung im Hintergrund und Download des Vertragstextes oder ggf. Zugang zum Vertrag im Benutzeraccount;
  • eigenhändiges Unterschreiben und Einscannen von Unterlagen, um sie dann per (zu protokollierender) E-Mail zu verschicken.[10]

Für den Vertragsschluss via Webseite und den Versand per E-Mail ist ergänzend zu beachten, dass diese nur dann taugliche Kommunikationskanäle darstellen, wenn auch geeignete Maßnahmen zur klaren Identifizierbarkeit der Parteien gewährleistet sind, also insbesondere eine Verschlüsselung nach dem aktuellen Stand der Technik zum Einsatz kommt. Als Orientierung können dafür die Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) in der entsprechenden Richtlinie TR-02102[11] herangezogen werden. Zum jetzigen Zeitpunkt wird diesbezüglich zumindest eine Transportverschlüsselung nach TLS 1.2 und 1.3 empfohlen. Was insgesamt den Beweiswert der auf diesen Wegen ausgetauschten Willenserklärungen zum Vertragsschluss angeht, sind sie als untereinander gleichwertig anzusehen und erfüllen damit die oben aufgestellten Anforderungen in jedem Fall.

3. Inhaltliche Anforderungen des Datenschutzrechts

Ebenso vielfältig wie ihre Erscheinungsformen sind aber die Herausforderungen bei der Auslegung und Prüfung dieser Verträge. Denn es existieren zwar verschiedene Muster,[12] die teils von Verbänden und auch von den Aufsichtsbehörden zur Verfügung gestellt werden. Doch genießen diese Vorlagen keinen allgemeinverbindlichen Charakter, solange es sich nicht um solche handelt, die gemäß Art. 28 Abs. 7 oder 8 DSGVO durch die Kommission oder die Aufsichtsbehörden festgelegt wurden.[13] Nachdem von dieser Möglichkeit bislang noch kein Gebrauch gemacht worden ist, obliegt es also dem Anwender in jedem Einzelfall, die Prüfung der Vertragsinhalte am Katalog des Art. 28 Abs. 3 S. 2 DS-GVO auszurichten.

Zum einen sind aber die dort aufgestellten Kriterien nicht in der Weise abschließend, dass ein festgelegter Rahmen von Inhalten und Vertragsklauseln vorgeschrieben wäre.[14] Zum anderen beinhalten die im Folgenden aufgelisteten Regelungen auch selbst unbestimmte Rechtsbegriffe, die folglich durch eigene gestalterische Maßnahmen im Vertrag ausgefüllt werden müssen. Dies wiederum bedeutet, dass die fachgerechte Prüfung eines solchen Vertrages mitunter weitaus mehr erfordert als das bloße Abgleichen des jeweiligen Dokuments mit einer vorgefertigten „Ja/Nein“-Checkliste. Es erscheint vielmehr angebracht und erforderlich, die einzelnen verwendeten Formulierungen inhaltlich zu bewerten. In Anlehnung an die bereits oben zu den Formvorschriften angestellten Überlegungen ist zunächst zu konstatieren, dass die Verordnung in diesem Zusammenhang nur abstrakt-generelle Kriterien aufstellt, die wiederum im Einzelnen umstritten sind. Es sollten daher die Vorschriften aus dem nationalen Recht als Maßstab heranzuziehen sein.

4. Berücksichtigung des AGB-Rechts

Für eine Inhaltskontrolle von vertraglichen Bestandteilen kennt das deutsche Zivilrecht die Regelungen über die Gestaltung von Allgemeinen Geschäftsbedingungen (AGB). Der Übersichtlichkeit wegen soll hier davon ausgegangen werden, dass die beteiligten Vertragspartner ihren Sitz in Deutschland haben oder jedenfalls deutsches Recht zur Anwendung kommt. Eine Überprüfung wäre daher nach den §§ 305 ff. BGB vorzunehmen, sofern diese auf AV-Verträge anwendbar sind.

a) Einbeziehen in den Vertrag

Nach § 305 Abs. 1 S. 1 BGB gelten als AGB alle für eine Vielzahl von Verträgen vorformulierten Vertragsbedingungen. Gerade in Anbetracht der zahlreichen als Muster zur Verfügung stehenden Unterlagen dürfte das Merkmal des Vorformulierten unstreitig erfüllt sein.[15] Auch sind diese Vertragsbedingungen stets für eine Vielzahl von Verträgen vorgesehen – entweder auf Seiten des Verantwortlichen, um sie (nach Möglichkeit) für alle seine Auftragsverarbeiter zum Einsatz zu bringen, oder umgekehrt auf dessen Seiten, um sie gegenüber all seinen Kunden zu verwenden. Ob dies tatsächlich auch so erzielt werden wird, ist dabei unerheblich. Es kommt einzig darauf an, ob die Vertragsbedingungen dazu angedacht sind, also ob – übertragen auf das Szenario der Datenverarbeitung – die AV-Verträge in der gewünschten Art und Weise Verwendung finden sollen.[16] Trotz allem können Zweifel aufkommen, ob diese Folgerung (noch) dem Sinn und Zweck des Gesetzes entspricht. Immerhin verfolgen die AGB-Vorschriften das Ziel, dort einen Ausgleich zu schaffen, wo im Zuge der Privatautonomie ein Vertragspartner durch den anderen eine mögliche Benachteiligung erfährt. Wenn aber der Inhalt eines Vertrages bereits im Wesentlichen per Gesetz vorgeschrieben ist (wie hier im Falle des Art. 28 Abs. 3 S. 2 DS-GVO), so stellt sich die Frage, ob diese zusätzliche Kontrolle gerechtfertigt ist oder ob es nicht sinnvoll wäre, die Auftragsverarbeitung davon auszunehmen. So hat etwa das BayLDA in der Formulierungshilfe für einen AV-Vertrag nach Art. 28 DS-GVO eine Prüfung nach dem AGB-Recht gem. §§ 307 ff. BGB zwar nicht vorgenommen, dies jedoch den Parteien überlassen;[17] eine ähnliche Position vertritt auch die Landesbeauftragte für Datenschutz und Informationsfreiheit im Saarland.[18]

Die Rechtsnatur eines Vertrages ist zunächst einmal unerheblich für die Beurteilung der Frage, ob und in welchem Umfang eine Inhaltskontrolle stattzufinden hat. Das Gesetz hat stattdessen in § 310 BGB Bereichsausnahmen definiert, nach denen bestimmte Vorschriften in Bezug auf einzelne Vertragsarten keine Anwendung finden. In diesem „Ausnahmekatalog“ sind aber AV-Verträge nicht enthalten. Das Institut der Auftragsverarbeitung war bereits unter Geltung der alten Datenschutz-Richtlinie 95/46/EG bekannt – wenngleich auf nationaler Ebene unter geringfügig anderer Bezeichnung. Deswegen ist davon auszugehen, dass der BGB-Gesetzgeber den Aspekt der Kontrollfähigkeit von AV-Verträgen bewusst außen vor gelassen und es nicht etwa übersehen hat, dies zu regeln. Der Umstand, dass diese Verträge im Zuge der zahlreichen Änderungen, welche das BGB im Allgemeinen und die schuldrechtlichen Bestimmungen im Speziellen über die Jahre erfahren haben, nicht vom Anwendungsbereich ausgenommen wurden, spricht vielmehr dafür, dass dies eine gewollte Lücke darstellt. Folglich sind AV-Verträge unter die (allgemeinen) Regelungen des § 305 Abs. 1 S. 1 BGB zu fassen. Es steht dabei nicht zu befürchten, dass eine doppelte Kontrolle bzw. ein gewissermaßen doppelter Maßstab – einerseits durch den Katalog in Art. 28 Abs. 3 S. 2 DS-GVO und andererseits durch die Klauselverbote nach den §§ 307 ff. BGB – die Vertragsfreiheit der Parteien über Gebühr einschränkt. Dass überdies eine solche doppelte Kontrolle verhältnismäßig und sachlich geboten sein kann, wird an den einzelnen Beispielen von verwendeten Klauseln noch zu zeigen sein.

b) Verwender

Denjenigen Vertragspartner, welcher die AGB einbringt, nennt das Gesetz den Verwender. Diese Einordnung ist wiederum maßgeblich für die Frage, wem der beiden Vertragsparteien die Schutzwirkung der AGB-Normen zugutekommen soll. Hingegen ist datenschutzrechtlich nicht festgelegt, ob entweder der Verantwortliche oder der Auftragsverarbeiter für den Abschluss des Vertrages zu sorgen hat. Rein vom Wortsinn her sollte es primär der Verantwortliche sein, der für die Einhaltung des Datenschutzes Sorge trägt; zumal dieser auch berechtigt ist, dem Auftragsverarbeiter bestimmte Weisungen zu erteilen. Dieser Umstand legt wohl die Vermutung nahe, dass er deswegen auch als Verwender im AGB-rechtlichen Sinne gelten sollte. In der Praxis jedoch macht dies kaum einen Unterschied. Weder für die eine noch für die andere Seite sind datenschutzrechtliche Voroder Nachteile damit verbunden, selbst einen Vertragsentwurf einzubringen. Zudem kommt es relativ häufig vor, dass bereits der Dienstleister einen eigens für seine angebotenen Leistungen angepassten Mustervertrag vorschlägt. Vor allem aus Sicht von Anbietern, für die solche Vorgänge Massengeschäfte darstellen, kann das sehr effektiv sein.

Glücklicherweise ist eine Entscheidung, wer von beiden letztlich als Verwender gilt, jedenfalls nicht für die Einordnung eines AV-Vertrages als AGB ausschlaggebend. Zum einen muss ein Vertragswerk nicht im Ganzen als AGB angesehen werden. So ist es denkbar, dass einzelne in einem Vertrag enthaltene Bestimmungen individuell ausgehandelt werden und demzufolge von der Inhaltskontrolle ausgenommen sind, wohingegen die übrigen Klauseln einer solchen weiterhin unterliegen. Zum anderen gestatten die gesetzlichen Regelungen ihrerseits eine flexible Handhabung des VerwenderBegriffes. Denn es ist durchaus möglich, dass eine Vertragspartei ausschließlich in Bezug auf einzelne Klauseln, auf die sie sich beruft bzw. die sie eingebracht hat, als Verwender gilt. Es spielt auch keine Rolle, ob Vertragsbedingungen, die von einem Dritten erstellt wurden, gar im Interesse beider Parteien einbezogen werden.[19] Es ist also genauso gut möglich, dass die Vertragspartner den Mustervertrag eines Interessenverbandes oder einer Aufsichtsbehörde heranziehen und damit das Dokument im Ganzen oder auch nur einzelne Bestandteile davon zum Inhalt des konkret abzuschließenden AV-Vertrages machen. In diesem Fall jedoch kann der AV-Vertrag weder dem Verantwortlichen noch dem Auftragsverarbeiter eindeutig als Verwender „zugeordnet“ werden.

c) Anwendungsbereich

Praktische Probleme sind aus dieser Folgerung indes nicht zu erwarten. Zwar ist damit ein direkter Rückgriff auf die §§ 305 ff. BGB verwehrt. Es spricht aber viel dafür, trotzdem eine Anwendung von denjenigen Vorschriften (analog) zuzulassen, welche losgelöst davon dem Schutz der einen wie der anderen Partei zugutekommen können; dies gilt insbesondere für die §§ 305b, 305c und 306 BGB.[20] Ohnehin sind die Klauselverbote der §§ 308, 309 BGB (mit Ausnahme zweier für das hiesige Szenario in AV-Verträgen irrelevanten) von der direkten Anwendung ebenfalls ausgeschlossen, wie § 310 Abs. 1 S. 1 BGB festlegt. Jedoch fließen die Rechtsgedanken aus eben diesen Vorschriften in die Bewertung § 307 BGB ein, und überdies sind auch die im Handelsverkehr zwischen Unternehmern geltenden Gewohnheiten und Gebräuche angemessen zu berücksichtigen (vgl. hierzu § 310 Abs. 1 S. 2 BGB). Der Rahmen der vorzunehmenden Inhaltskontrolle ist damit bereits ein Stück weit flexibilisiert, sodass die oben genannten Vorschriften letztlich in einer deren Schutzzweck unterstreichenden Art und Weise daran anknüpfen.

Von besonderer Bedeutung dürfte dabei regelmäßig § 307 Abs. 2 BGB sein – wenn es also zu thematisieren sein wird, ob gegen wesentlichen Grundgedanken der gesetzlichen Regelung in Art. 28 DS-GVO verstoßen wird oder wesentliche Rechte oder Pflichten, die sich aus der Natur des Vertrags ergeben, so eingeschränkt werden, dass die Erreichung des Vertragszwecks gefährdet ist. Unangemessen ist danach eine Benachteiligung, wenn der Verwender durch einseitige Vertragsgestaltung missbräuchlich eigene Interessen auf Kosten eines Vertragspartners durchzusetzen versucht, ohne von vornherein auch dessen Belange hinreichend zu berücksichtigen und ihm einen angemessenen Ausgleich zuzugestehen.[21] Dies in den jeweils passenden Kontext der einzelnen zur Diskussion stehenden Vertragsklausel zu rücken, soll im Folgenden versucht werden.

II. Umstrittene Klauseln aus der Praxis

Bei der Ausgestaltung von AV-Verträgen ergeben sich ob der relativ allgemein gefassten gesetzlichen Vorgaben nicht selten Diskrepanzen im Detailgrad einzelner Formulierungen. Im Folgenden sollen einige der häufig umstrittenen Klauseln vorgestellt und besprochen werden.

1. Laufzeit und Verbindung mit etwaigem Hauptleistungsvertrag

Oftmals wird hinsichtlich der Vertragslaufzeit sowie des Gegenstandes der konkreten Verarbeitung auf einen Hauptleistungsvertrag Bezug genommen. Trotz der Parallelität zweier Verträge mit unterschiedlichen Rechtsfolgen soll diese Koppelung zur Einheitlichkeit bzw. zu vermeintlich mehr Rechtssicherheit beitragen. Dabei stellt sich die Frage, inwiefern der separat abgeschlossene AV-Vertrag auch nach Beendigung oder Anfechtung des Hauptleistungsvertrages oder bei Formmängeln des selbigen wirksam bliebe – und ob deswegen die wesentlichen Inhalte vielmehr und besser direkt im AV-Vertrag zu regeln seien.

a) Keine Detail-Regelung der DS-GVO

Aus Art. 28 DS-GVO ergeben sich hier keine unmittelbaren Vorgaben. Es wird lediglich in Art. 28 Abs. 3 S. 1 DS-GVO normiert, dass in einem solchen Vertrag (oder anderen Rechtsinstrument) unter anderem Gegenstand und Dauer der Verarbeitung „festzulegen sind“, was auch begrifflich durch die gewählte Formulierung deutlich wird, dass diese Parameter nicht noch erst (nach)verhandelt oder später ausgelegt werden dürfen, sondern eindeutiger und präziser Bestandteil dieses Vertrages bei Vertragsschluss (im Sinne der essentialia negotii) zu sein haben.[22] Im Gegensatz zu den in Abs. 3 S. 2 aufgeführten Vorgaben (eingeleitet durch die Formulierung „sieht insbesondere vor“), sind die zuvor genannten Kriterien – schon wegen des Wortlauts und der Systematik dieser Vorschrift – zwingend und abschließend in den Vertrag aufzunehmen. Sie müssen den Vertragsinhalt eindeutig regeln und geben damit gewissermaßen den Rahmen vor, den die weiteren Modalitäten nach S. 2 dann ausfüllen.

b) Vertraglicher Spielraum

Diese Deutung könnte gegen die häufig beobachtete, rein praktisch herausgebildete Erscheinung sprechen, dass hierzu auf einen Hauptleistungsvertrag Bezug genommen wird. Im Falle von dessen Unwirksamkeit (etwa auf Grund Formfehlers oder Anfechtung) würde nämlich dann der Verweis aus dem AV-Vertrag ins Leere laufen und dieser somit keine Festlegungen (mehr) bezüglich dieser zwingenden Vorgaben aufweisen. Dann läge vor dem Hintergrund des Art. 28 Abs. 1 S. 1 DS-GVO zumindest eine unvollständige Vereinbarung vor, oder sie wäre gar zur Gänze unwirksam. Schließlich lässt sich argumentieren, der AV-Vertrag selbst müsse bereits den wesentlichen Inhalt der Verarbeitung fixieren[23] bzw. verbindlich festhalten.[24] Es empfiehlt sich daher, diese Regelungen bereits im AV-Vertrag festzuhalten.

Auch hinsichtlich der Frage, ob eine (eigenständige) Laufzeit des AV-Vertrages zu treffen oder diese aus den oben genannten Erwägungen vom Hauptvertrag abhängig zu machen ist, bietet die DS-GVO keine eindeutigen Antworten. Für die Festlegung einer eigenständigen Laufzeit könnte argumentiert werden, dass das Gesetz eine „Dauer“ (Art. 28 Abs. 3 S. 1 DS-GVO) bzw. eine Beendigung nach „Abschluss der Erbringung der Verarbeitungsleistungen“ vorsehe (Art. 28 Abs. 3 S. 2 lit. g) DS-GVO). Derartige Zeitpunkte dürften freilich in der Praxis mit der Durchführung einer zu vergütenden Hauptleistung bzw. der beauftragten Leistung zusammenfallen. Nach Beendigung steht dem Verantwortlichen zwar ein Anspruch auf Löschung oder Rückgabe (Art. 28 Abs. 3 S. 2 lit. g) DSGVO) der betroffenen Daten zu. Die Rechte, Kontrollen durchzuführen und Weisungen zu erteilen, gelten jedoch nur für die Dauer des Vertragsverhältnisses. So würde der Verantwortliche aber nach Beendigung des AV-Vertrages keine Kontrollrechte mehr ausüben können. Umgekehrt müsste der Auftragsverarbeiter bei Fortbestand der AV-Vertragspflichten noch Jahre nach dem Ende des Auftrages mit dieser für ihn belastenden Situation (z.B. einem Audit) rechnen.

Dem lässt sich entgegnen, dass vielfältige Szenarien denkbar sind, in denen deutlich nach Beendigung einer Auftragsverarbeitung weiterhin personenbezogene Daten in der Sphäre des Auftragsverarbeiters vorzufinden sind oder dort unerwartet auftauchen. Ein unbefristeter AV-Vertrag würde dem Verantwortlichen dauerhaft Kontrollrechte einräumen, die zeitlich weit über den eigentlichen Auftrag hinausgehen. Dies könnte beiden Parteien zugutekommen, indem es ihr Bewusstsein um Ihre rechtliche Rolle und die ihnen obliegenden Pflichten im Hinblick auf die Verarbeitung personenbezogener Daten nachhaltig schärfen würde. Eine unbefristete Laufzeit wäre daher zulässig, müsste jedoch eine Möglichkeit zur Beendigung durch ordentliche Kündigung vorsehen.[25]

Andere knüpfen demgegenüber die (befristete) Laufzeit des AV-Vertrages streng an die Dauer des Hauptleistungsverhältnisses, um mehr Einheitlichkeit zu erzielen. Schließlich sei auf diese Weise ein besser praktikables Vertragsmanagement mit einheitlichen Kündigungsfristen gewährleistet. Damit könnte jedoch nach Beendigung des AV-Vertrages ggf. auch nicht mehr die Rückgabe von Daten gefordert werden, wenn diese beispielsweise nach Wahl des Verantwortlichen etwa in archivierter Form dort verblieben. Mithin stellt auch die Löschung bzw. Vernichtung von Daten eine eigenständige Verarbeitung im Sinne von Art. 4 Nr. 2 DS-GVO dar. Dies zu veranlassen, würde also eine neue/eigenständige Auftragsverarbeitung begründen, weshalb ein auf unbestimmte Zeit geschlossener AV-Vertrag mit Möglichkeit zur ordentlichen Kündigung vorzugswürdig erscheint, anstatt (in dieser Fiktion) immer wieder einen neuen AV-Vertrag schließen zu müssen. Auch eine Terminierung des Endes wäre aus diesem Grund nicht sinnvoll.

Eine solche Klausel zur unbefristeten Laufzeit mit ordentlicher Kündigung nach § 314 BGB dürfte in jedem Fall einer AGB-Prüfung gem. §§ 307 ff. BGB standhalten, ist sie doch transparent und als Ausgestaltung eines Dauerschuldverhältnisses zu verstehen.[26]

2. Kontrollrechte des Verantwortlichen

Zu den meistdiskutierten Regelungen zählen die Kontrollrechte des Verantwortlichen, die in Art. 28 Abs. 3 S. 2 lit. h) DS-GVO explizit zur Mitwirkungspflicht ausgestaltet sind. Sie bergen ein enormes Konfliktpotential, da sich in der Realität zumeist Unternehmen mit unterschiedlichen Interessen gegenüberstehen. Daraus kann sich rasch Uneinigkeit hinsichtlich der Reichweite dieser Rechte und Pflichten ergeben, wenn womöglich gar die Befürchtung im Raum steht, dass ganze Geschäftsmodelle beeinträchtigt würden.

a) Regelungen der DS-GVO

Zwar spricht die DS-GVO in Art. 28 Abs. 3 S. 2 lit. h) unter anderem von aktiven Maßnahmen wie „Überprüfungen“bzw. „Inspektionen“, „die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden“, weist im Übrigen aber einen relativ abstrakten Wortlaut auf. Der Verordnung sind zum Leidwesen der Vertragsparteien keine spezifischen Vorgaben in Bezug auf Art und Umfang solcher Überprüfungen und die damit verbundenen Duldungs- und Mitwirkungspflichten des Auftragsverarbeiters zu entnehmen.[27]

b) Vertraglicher Spielraum

Den Vertragsparteien wird also vom Gesetzgeber ein weitreichender Gestaltungsspielraum eingeräumt. Diese Regelung hat auch durchaus ihre Berechtigung und ist – wie in vielen anderen Bereichen der DS-GVO auch – gewissermaßen technologieoffen[28] formuliert. Schließlich fordert auch Art. 32 Abs. 1 lit. d) DS-GVO einen Mechanismus zur regelmäßigen Bewertung und Überprüfung von einmal eingerichteten Maßnahmen lediglich (aber immerhin) in Abhängigkeit vom konkreten Schutzbedarf, wobei sogar wirtschaftliche Erwägungen (die Implementierungskosten) berücksichtigt werden dürfen.[29] Deshalb wäre es unverhältnismäßig, vor dem Hintergrund der äußerst vielfältigen Erscheinungsformen von AV-Verhältnissen, gerade in diesem speziellen Punkt, was die Ausübung von Kontrollen angeht, starre Fristen und Vorgaben zu fordern.

Unterm Strich und zuvorderst ist festzuhalten, dass der Verantwortliche in die Lage zu versetzen ist, jederzeit alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DS-GVO niedergelegten Pflichten zu erhalten und deren Umsetzung zu überprüfen bzw. überprüfen zu lassen. Das ergibt sich ohnehin aus dem Sinn und Zweck der Norm: Der Verantwortliche hat die Aufgabe, den Auftragsverarbeiter auszuwählen und zu überwachen.[30] Dabei wird eine zeitliche Spanne von vor der Beauftragung über die fortlaufende Kontrolle[31] während der teilweise jahrelang dauernden Auftragsverarbeitung bis hin zur Beendigung abgebildet und eine Art „Dauerüberwachung“ formiert.

Allerdings ist unklar, wie weit diese „Überprüfungen“ und „Inspektionen“ reichen können, beispielsweise ob sie auch die Einsichtnahme in allgemeine Prozesse und interne Unterlagen erlauben, die nicht im Zusammenhang mit der konkreten Datenverarbeitung im Auftrag stehen; wie oft diese Informationen zur Verfügung zu stellen sind (z.B. im jährlichen Turnus oder aber beliebig oft) und ob die Kontrollen (rechtzeitig) anzukündigen sind.

c) Vorschläge in Musterverträgen

Nach dem Mustervertrag des bitkom e.V.[32] sollten deshalb Inspektionen durch den Verantwortlichen „zu den üblichen Geschäftszeiten ohne Störung des Betriebsablaufs nach Anmeldung unter Berücksichtigung einer angemessenen Vorlaufzeit durchgeführt“ werden. Eine derartige Klausel würde dem Auftragsverarbeiter hinreichend Zeit zur Vorbereitung und Planung geben und insgesamt einen solchen Termin effizienter gestalten.

Gemäß des Mustervertrags des LDA Bayern[33] könnte dies wie folgt ausgestaltet sein: „Der Auftragnehmer erklärt sich damit einverstanden, dass der Auftraggeber – grundsätzlich nach Terminvereinbarung – berechtigt ist, die Einhaltung der Vorschriften über Datenschutz und Datensicherheit sowie der vertraglichen Vereinbarungen im angemessenen und erforderlichen Umfang selbst oder durch vom Auftraggeber beauftragte Dritte zu kontrollieren, insbesondere durch die Einholung von Auskünften und die Einsichtnahme in die gespeicherten Daten und die Datenverarbeitungsprogramme sowie durch Überprüfungen und Inspektionen vor Ort (Art. 28 Abs. 3 Satz 2 lit. h DS-GVO).“ Dieser Vorschlag dürfte unterstreichen, dass unter Berücksichtigung der Interessen beider Parteien ein angemessener Ausgleich zu schaffen ist, um Benachteiligungen eines Vertragspartners zu verhindern und eine vertrauensvolle Zusammenarbeit zu gewährleisten.[34]

In diesem Kontext können Überlegungen vorgenommen werden, anstelle eines umfassenden „Vor-Ort“-Audits lediglich entsprechende Nachweise und Berichte auf Seiten des Auftragsverarbeiters zu führen bzw. dem Verantwortlichen textlich oder fernmündlich[35] vorzulegen. Dabei dürfen jedoch keine Geschäftsgeheimnisse oder die gesetzliche Schweigepflicht verletzt werden. So hat es der Verordnungsgeber offenbar nicht als zwingend erforderlich angesehen, dass sich der Verantwortliche ausschließlich vor Ort beim Auftragsverarbeiter durch eigene Inaugenscheinnahme von der Einhaltung der Maßnahmen überzeugt, obgleich er sich diese Möglichkeit vertraglich einräumen lassen kann.[36] In der Vergangenheit vor Geltung der DS-GVO wurde mitunter kritisiert, dass es ausschließlich der Verantwortliche selbst sei, der (seine) Kontrollmaßnahmen durchführen könne.[37] Dass diese Aufgabe nun auch ausdrücklich an Dritte übertragen werden kann, stellt eine wesentliche praktische Erleichterung dar[38] und kann die Wirksamkeit der Kontrolle steigern, indem spezialisierte Experten mit entsprechender Fachkunde diese Kontrolle zielgerichtet vornehmen.

d) Kontrolle von Unterauftragnehmern

Zusätzlich herrschen in der Beratungspraxis oftmals Meinungsverschiedenheiten darüber, ob der Verantwortliche auch Einsicht nehmen kann in datenschutzrechtliche Vereinbarungen zwischen dem Auftragsverarbeiter und weiteren von ihm eingeschalteten Auftragsverarbeitern (“Unterauftragnehmern“), und ob er beispielsweise auch deren technische und organisatorische Maßnahmen einsehen kann, obwohl er (in der Regel) keine direkte Vertragsbeziehung zu diesen hat.[39]

aa) Vorgehen in der Datenverarbeitungskette

Gegen eine derart weitreichende Überprüfung lässt sich anführen, dass aus dem Haftungskonstrukt des Art. 82 DS-GVO bzw. der Vorgaben nach Art. 28 Abs. 3 Abs. 4 S. 2 DS-GVO ohnehin nur auf Grundlage der direkten Vertragsbeziehung eine Haftung des Auftragsverarbeiters gegenüber dem Verantwortlichen besteht. Da der Auftragsverarbeiter seinerseits für die Wahrung und Einhaltung dieser Bestimmungen hinsichtlich der „Unterauftragnehmer“ einzustehen hat,[40] dürfte es für den Verantwortlichen möglicherweise gar nicht auf die Verträge zwischen den Auftragsverarbeitern untereinander ankommen. Schließlich soll haftungsrechtlich immer das vorherige Glied in der Kette (Verantwortlicher – Auftragsverarbeiter – Unterauftragnehmer) heranzuziehen sein, was der einheitlichen Rechtsanwendung und damit der Rechtssicherheit für die Beteiligten dient.[41]

Dieses Konstrukt von Art. 28 DS-GVO könnte als zusätzliche „Privilegierung“ des Verantwortlichen verstanden werden, der bereits dann seinen Pflichten nachgekommen wäre, wenn er den direkten Vertragspartner, d.h. den unmittelbaren weisungsgebundenen Auftragsverarbeiter geprüft und für datenschutzkonform bewertet hat, ohne weitere einbezogene Auftragsverarbeiter kontrollieren, respektive überwachen zu müssen. So sieht es der Vertrag in der Regel auch vor. Eine darüber hinaus gehende Überwachung aller involvierten Unterauftragnehmer wäre freilich aufwändig und würde zunächst voraussetzen, dass ihm die Unterauftragnehmer auf dritter Ebene (oder gar darunter) überhaupt bekannt gemacht würden und er vertragliche Regelungen mit diesen getroffen hat, die eine solche Kontrolle überhaupt erlaubten bzw. ausgestalteten. Darüber hinaus müssten aber auch noch praktikable Mechanismen entwickelt werden, um solche Kontrollen zielgerichtet und ohne größere Störungen im Betriebsablauf tatsächlich vornehmen zu können.

bb) „Durchgriffsrecht“ des Verantwortlichen

Andere Rechtspositionen[42] räumen dem Verantwortlichen hingegen ein solches „Durchgriffsrecht“ ein, auch wenn sich dieses wohl nur mittelbar aus Art. 28 Abs. 3 S. 2 lit. h) DS-GVO ergeben dürfte. Hierfür könnte sprechen, dass der Verantwortliche seine Kontrollrechte effektiv ausüben können muss. Der Verantwortliche muss sich sowohl das Handeln seiner Mitarbeiter wie auch des Auftragsverarbeiters zurechnen lassen.[43] Demzufolge kann er ein großes Interesse daran haben, sich auch hinsichtlich der Unterauftragnehmer möglichst umfassend selbst von der Rechtmäßigkeit der Verarbeitung zu überzeugen. Immerhin sieht es die DSGVO in der „Grundkonstellation“ vor, dass er selbst die AVKontrollen vornimmt;[44] er muss sich daher nicht darauf verweisen lassen, sich diese von dem nächsten Glied in der AV-Kette gewissermaßen abnehmen zu lassen. Es hätten folglich auch alle weiteren „Unterauftragnehmer“, die sich eine Ebene weiter unter dem ersten Auftragsverarbeiter befinden, ebenso eine Prüfung durch ihn (den Verantwortlichen) hinzunehmen.

Diese Folge wäre zumindest vom Wortlaut her auch konsequent, kennt die Vorschrift doch lediglich den „weiteren Auftragsverarbeiter“ und jedenfalls sprachlich keinen sog. Unter-(Unter-)Auftragsverarbeiter. Mithin wird jeder weitere Auftragsverarbeiter in der Kette der Verantwortung gleichrangig zum jeweils ersten behandelt. Als Argument pro „Durchgriffsrecht“ kann daher insbesondere die Regelung Art. 28 Abs. 3 S. 2 lit. h) i.V.m. Abs. 4 DS-GVO herangezogen werden.[45] So kann der „erste“ Auftragsverarbeiter selbst ein Interesse daran haben, die eigene Kontrolltätigkeit in Bezug auf den „zweiten“ an den Verantwortlichen abzugeben, weil er auf diese Weise weniger Gefahr liefe, gegen diesbezügliche Vorgaben und Weisungen zu verstoßen; vielmehr wäre der Verantwortliche frei, die Kontrollen unmittelbar nach seinem Gusto abzuhalten. Ferner ist hier die Rede davon, dass dem weiteren Auftragsverarbeiter „dieselben Datenschutzpflichten“ wie dem ersten in der Reihe auferlegt werden müssen.[46] Wiederum streng am Wortlaut orientiert wären die Pflichten tatsächlich deckungsgleich in der Weise auszurichten, dass es nicht der vorige Auftragsverarbeiter, sondern eben der Verantwortliche zu sein hat, dem der weitere Auftragsverarbeiter in Sachen Kontrollen unterworfen ist. Doch dann müsste dieser hiervon auch effektiv Gebrauch machen, was ihn zusätzlich belasten würde und in der Praxis eher für einen „Rechenzentrums-Tourismus“ sorgen dürfte.[47]

cc) Zwischenergebnis

Vieles spricht gegen letztere Ansicht, da es kaum zu mehr Rechtssicherheit führen würde, wenn sich Dienstleister und Kunden/Verantwortliche auch ohne direkte Vertragsbeziehung Kontrollen ausgesetzt sehen, die in der Realität wenig erfolgversprechend sein dürften. Der Auftragsverarbeiter wäre nahezu schutzlos, sähe er sich einer unbestimmten ihm unbekannten Vielzahl an Verantwortlichen und derartigen Anfragen ausgesetzt. Zu denken wäre beispielsweise daran, dass vermutlich ein Großteil der internationalen Dienstleister auch auf bekannte Cloud-Infrastrukturen[48] aus den USA setzen, die sodann faktisch als ein weiterer Auftragsverarbeiter in der IT-Landschaft zu benennen sind.

Die denkbare Umsetzung dieser Kontrollrechte liegt im Handlungsspielraum beider Vertragsparteien und sollte von den konkreten Gegebenheiten, wie beispielsweise auch der Art der Datenverarbeitung und der Rechtslage abhängig sein.[49] Zur Vermeidung von Missverständnissen und Rechtsunsicherheiten sollte die Handhabung der Kontrollmöglichkeiten in jedem Fall vorab im AV-Vertrag eindeutig festgelegt werden.[50] In Ansehung einer AGB-Kontrolle erscheint es überdies empfehlenswert, nur dem direkten Vertragspartner eine solche Pflicht aufzuerlegen, da diese nicht zu Lasten Dritter gehen kann. Andernfalls würden solche Klauseln, die ein direktes Durchgriffsrecht festlegen, zur unangemessenen einseitigen Belastung einer Vertragspartei führen, wenn der Verantwortliche eine weit über den Wortlaut hinausgehende Kontrollbefugnis besäße und – spiegelbildlich – sich der Auftragsverarbeiter einer unbestimmten Vielzahl an solchen Kontrollen ausgesetzt sähe. Eine derartige Klausel könnte also im Wege der Inhaltskontrolle nach § 307 BGB beanstandet werden.

3. Vergütung für Unterstützungsleistung

Die Frage, ob und welche Vergütung der Auftragsverarbeiter für seine Unterstützungsleistung bei der Umsetzung der Betroffenenrechte vom Verantwortlichen verlangen kann, sorgt regelmäßig für Diskussion.

a) Regelungen der DS-GVO

Die DS-GVO sieht weder in Art. 28 noch an anderer Stelle konkrete Anhaltspunkte hierzu vor, und überlässt es den Vertragsparteien, über Vergütungsregelungen bzw. das Tragen von Kosten zu entscheiden.[51] Offenbar war eine solche Kostenbeteiligung nicht vom Verordnungsgeber gewünscht, andernfalls hätte er diese zugelassen oder zumindest angesprochen bzw. ausdrücklich den Parteien angeboten.

b) Deutung und vertraglicher Spielraum

Vertretbar ist die Ansicht, dass in Ermangelung an Vorgaben aus der DS-GVO und zur Verhinderung von Beschränkungen der dem Verantwortlichen zustehenden Kontrollrechte eine ihn treffende Kostenbeteiligung oder gar das komplette Auferlegen von Kosten unzulässig wäre. Allerdings könnte eine solche Kostenbeteiligung in speziellen Konstellationen (z.B. auf Seiten eines Aktenvernichters als Auftragsverarbeiter) angezeigt sein, wenn die Inspektion vor Ort einen erheblichen Aufwand für den externen Dienstleister bedeuten, und dadurch vorübergehend Geschäftsprozesse behindert würden. Vor allem kleinere Unternehmen könnten benachteiligt sein, wenn sie sich unentgeltlich an dieser Unterstützung beteiligen müssten oder dafür sogar auf eigene Rechnung rechtliche Beratung/Unterstützung benötigen. Eine derartige Mitwirkung dürfte bei sog. Freelancern und kleineren Einzelbetrieben regelrecht zur Abschreckung führen und möglicherweise das gesamte Geschäftsmodell gefährden.

c) Regelungsvorschläge…

So spricht sich der bitkom e.V. in der Stellungnahme[52] zum Bundesmuster zur Auftragsvertrag nach dem BMWi[53] für eine gesonderte Klausel zur Vergütung von Unterstützungsleistungen aus, in der solche Tätigkeiten klar zu definieren sind – am besten nach konkretem Aufwand ohne Obergrenze. Dieser Vorschlag ist insofern zu begrüßen, als er für beide Vertragsparteien eindeutige Regelungen und Kostenvorgaben etabliert, ohne dabei den Auftragsverarbeiter unangemessen zu benachteiligen. Gleichwohl könnte eine solche Bestimmung wiederum den Verantwortlichen benachteiligen, wenn dieser bei einer geringwertigen Dienstleistung (für wenige Euro pro Monat) mit hohen Kosten dafür zu rechnen hat, dass der Auftragsverarbeiter seiner ihm ohnehin vom Verordnungsgeber zugesprochenen Pflicht zur Mitwirkung nachkommt. Dabei befindet sich der Verantwortliche gleichsam in einer Zwangslage, da er auf diese Unterstützung angesichts fehlender technischer Zugriffe bzw. Kenntnisse angewiesen ist. Es könnte sogar die Option im Raume stehen, ein Dienstleister im Massengeschäft könnte sich durch diese „Hintertür“ eine zusätzliche Vergütung einräumen, um damit sein Geschäftsmodell kostensparend zu gestalten.

Der aktuelle Mustervertrag der GDD e.V.[54] weist hingegen keine Kostenregelungen auf. Gleichwohl sei es nach deren Praxishilfe-Muster den Vertragsparteien unbenommen, „eine Vergütung des Auftragnehmers allgemein für Unterstützungshandlungen zugunsten des Auftraggebers zu regeln.“[55] Eine Eingrenzung auf eine „angemessene Höhe“ ist nicht zu erkennen, was den Parteien je nach Kräfteverhältnis unter Umständen unbillige Ausgestaltungen ermöglicht.

d) …und deren Umsetzung

Im Ergebnis obliegt es sicherlich dem konkreten Einzelfall der Auftragsverarbeitung und wohl auch der Macht der Vertragsparteien, eine Vergütungsklausel zu verhandeln oder von dieser abzusehen. Hier bietet sich ggf. eine transparente Auflistung der Kosten an. Vor allem große internationale IT-Dienstleister werden aber in der Regel mit einer Marktmacht auftreten, infolge derer der datenschutzrechtlich so gewichtig daherkommende Verantwortliche als die kleinere bzw. schwächere Vertragspartei dasteht. Grenzen einer unangemessenen Benachteiligung ergeben sich vor allem aus der AGB-Kontrolle nach §§ 307 ff. BGB. Mithin darf die Kostenfrage nicht dazu führen, dass der Verantwortliche zur Kostenvermeidung von der Geltendmachung seiner Kontrollrechte absieht bzw. in seiner Rolle nicht den Anforderungen aus der DS-GVO gerecht werden kann. Spätestens dies dürfte bei einer gerichtlichen Überprüfung zur Unzulässigkeit solcher Klauseln führen.

III. Fazit

Da es sich bei Verträgen zur Auftragsverarbeitung um AGB handelt, unterfallen sie der zivilrechtlichen Inhaltskontrolle nach den §§ 307 ff. BGB – wohl aber vor dem Hintergrund, dass es sich nahezu immer um Verträge zwischen Unternehmern (B2B) handeln dürfte und deshalb die Kataloge der zu prüfenden Klauselverbote entsprechend restriktiv anzuwenden sind.

Es sollte dabei der Verarbeitungsgegenstand abschließend im AV-Vertrag selbst benannt sein; die gesetzliche Systematik[56] gebietet es, dass – wie in der Beratungspraxis häufig anzutreffen – nicht ausschließlich auf einen separaten Hauptleistungsvertrag verwiesen wird. Diese gedankliche Trennung des zivilrechtlichen Charakters vom datenschutzrechtlichen ist ebenfalls geboten hinsichtlich der Laufzeit des AV-Vertrages. Sie sollte auf unbegrenzte Dauer festgelegt sein – was regelmäßig mit dem Hauptvertrag kollidiert –, weil auf diese Weise die Umsetzung der datenschutzrechtlichen Pflichten am effektivsten gewährleistet ist. Besonderheiten innerhalb einer länger andauernden und sich gewissermaßen immer wieder erneuernden Datenverarbeitung können ebenso einen Anlass dafür bieten, die Vertragslaufzeit(en) separat zu regeln, wie das Risiko, dass der Hauptvertrag z.B. wegen Formmangels oder Anfechtung nichtig ist.

Beim Durchführen von Kontrollen oder sog. Inspektionen sind hingegen vielfältige Regelungen denkbar. So steht es dem Verantwortlichen frei, nicht nur den „ersten“, sondern auch alle „weiteren“ Auftragsverarbeiter eigenständig zu kontrollieren, wenn er dies tatsächlich und effektiv umzusetzen in der Lage ist. Im Vergleich zur alten Rechtslage (BDSG-alt) bietet aber die DS-GVO auch ausdrücklich die Möglichkeit, diese Pflichten entweder an Dritte oder an den jeweils in der „Datenverarbeitungskette“ nachfolgenden Auftragsverarbeiter zu delegieren. Da dies auch dem gesetzlichen Haftungskonstrukt entspricht, ist es vorzugswürdig, die Kontrollen innerhalb des jeweiligen konkreten Vertragsverhältnisses stattfinden zu lassen und auf ein solches Durchgriffsrecht des Verantwortlichen zu verzichten.

Das leidige Thema der „Kosten“ würde der gemeine Datenschützer wahrscheinlich am liebsten aus seiner rechtlichen Bewertung ausklammern, und diesbezüglich lieber auf die Vertragsverhandlung der Parteien verweisen. Diese romantische Vorstellung verkennt jedoch das Gewicht der in Rede stehenden finanziellen Interessen, die auch und sogar innerhalb der DS-GVO eine rechtliche Stütze finden sollen. Nicht zuletzt haben diese Interessen aber auch deshalb wiederum ihre Berechtigung, weil eine unausgewogene Kostenregelung die Geltendmachung der zustehenden Kontrollrechte über Gebühr einschränken oder gar aushebeln könnte. Der Drang der Vertragsparteien, sich einigen zu müssen, dürfte hierbei besonders stark ausgeprägt sein. Unterm Strich ist eine Regelung zur Übernahme von Kosten durch den Verantwortlichen anlässlich von Überprüfungen allenfalls dann gerechtfertigt, wenn diese in einem angemessenen Verhältnis zu der beauftragten Leistung stehen und transparent – nach tatsächlich anfallendem bzw. zu erwartendem Aufwand – vorab aufgeschlüsselt sind.

 

Conrad Sebastian Conrad ist Senior Berater Datenschutz bei der datenschutz nord GmbH, Büro Hamburg.

Stefan R. Seiter ist Rechtsanwalt und Senior Berater Datenschutz bei der datenschutz nord GmbH, Büro Bremen.

[1] Mehr zum technischen und rechtlichen Hintergrund Conrad/Licht/ Strittmatter, in: Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 3. Aufl. 2019, Teil C, § 22 Cloud Computing, Rn. 185 ff.

[2] DSK, Kurzpapier Nr. 13 zur Auftragsverarbeitung, S. 4.

[3] Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Aufl. 2019, Art. 28 DS-GVO Rn. 35.

[4] S. hierzu den Erwägungsgrund 81 der DS-GVO.

[5] Hartung, in: Kühling/Buchner, DS-GVO BDSG, 3. Aufl. 2020, Art. 28 DSGVO Rn. 64.

[6] Vgl. § 11 Abs. 2 S. 2 BDSG-alt

[7] Hartung (o. Fn. 5), Art. 28 Rn. 95; Martini, in: Paal/Pauly, DS-GVO BDSG, 3. Aufl. 2021, Art. 28 DS-GVO Rn. 75.

[8] S. Amtsbl. EU L3/19 f. (dort Rn. 9, 15), https://eur-lex.europa.eu/ legal-content/DE/TXT/PDF/?uri=CELEX:32016R0007&from=DE?uri=CELEX :32016R0007&from=DE.

[9] S. https://www.europarl.europa.eu/doceo/document/E-8-2018-003163– ASW_EN.html; vgl. dazu Hartung (o. Fn. 5), Art. 28 DS-GVO Rn. 96.

[10] So auch die Empfehlung des BayLDA, https://www.lda.bayern.de/media/veroeffentlichungen/FAQ_ADV_Formerfordernis.pdf.

[11] S. https://www.bsi.bund.de/DE/Themen/Unternehmen-undOrganisationen/Standards-und-Zertifizierung/Technische-Richtlinien/TRnach-Thema-sortiert/tr02102/tr02102_node.html.

[12] S. Abschnitt II. 2. c).

[13] Dieser Artikel entstand vor der Veröffentlichung des Durchführungsbeschlusses (EU) 2021/914 der Kommission vom 4. Juni 2021.

[14] Nähere Einzelheiten unter Abschnitt II. 1. a).

[15] Grüneberg, in: Palandt, Bürgerliches Gesetzbuch, 80. Aufl. 2021, § 305 BGB Rn. 8.

[16] Ulmer/Habersack, in: Ulmer/Brandner/Hensen, AGB-Recht, 12. Aufl. 2016,§ 305 BGB Rn. 23f.

[17] S. https://www.lda.bayern.de/media/muster/formulierungshilfe_av.pdf.

[18] S. https://www.datenschutz.saarland.de/themen/auftragsverarbeitung unter dem Menüpunkt „Gibt es eine Formulierungshilfe zum Vertrag über die Auftragsverarbeitung“?; vgl. auch Hartung (o. Fn. 5), Art. 28 DS-GVO Rn. 24.

[19] Grüneberg (o. Fn. 14),§ 305 Rn. 13; Ulmer/Habersack (o. Fn. 15), § 305 BGB Rn. 29.

[20] Ulmer/Habersack (o. Fn. 15), § 305 BGB Rn. 30.

[21] BGH NJW 2005, 1774.

[22] Vgl. EDSA DSA, Guidelines 7/2020, Version 2.0, Rn. 111 ff.; Spoerr, in: Wolff/Brink, BeckOK Datenschutzrecht, 35. Ed. 2021, Art. 28 DS-GVO Rn. 51 ff.

[23] Martini (o. Fn. 7), Art. 28 DS-GVO Rn. 29.

[24] Gabel/Lutz, in: Taeger/Gabel, DS-GVO BDSG, 3. Aufl. 2019, Art. 28 DSGVO Rn. 35.

[25] Spoerr (o. Fn. 22), Art. 28 DS-GVO Rn. 52.

[26] 26 Heydn, CR 2018, 621, 623.

[27] Gabel/Lutz (o. Fn. 24), Art. 28 DS-GVO Rn. 57.

[28] Erwägungsgrund 15, S. 1 der DS-GVO.

[29] Jandt (o. Fn. 5), Art. 28 DS-GVO Rn. 7 ff

[30] Sog. „Auswahlverantwortung“ des Verantwortlichen, Martini (o. Fn. 7), Art. 28 Rn. 19 f.

[31] Martini (o. Fn. 7), Art. 28 DS-GVO Rn. 20.

[32] Vgl. https://www.bitkom.org/sites/default/files/file/import/170515-Auftragsverarbeitung-Anlage-Mustervertrag-online.pdf.

[33] S. https://www.lda.bayern.de/media/muster_adv.pdf.

[34] Vgl. EDSA, Guidelines 07/2020, Version 2.0, Rn. 144.

[35] Zu denken wäre an eine Videokonferenz während der derzeitigen Corona-Pandemie.

[36] Klug, in: Gola, DS-GVO, 2. Aufl. 2018, Art. 28 DS-GVO Rn. 11.

[37] Mehr zur Gegenüberstellung der alten und aktuellen Rechtslage Gürtler, ZD 2019, 51, 51f.

[38] Petri (o. Fn. 3), Art. 28 DS-GVO Rn. 81.

[39] Dies Problem kann auch innerhalb eines Konzerns bestehen, vgl. Nickel, ZD 2021, 143, 144.

[40] Gabel/Lutz (o. Fn. 24), Art. 28 DS-GVO Rn. 67; vgl. Klug (o. Fn. 36), Art. 28 DS-GVO Rn. 14.

[41] Petri (o. Fn. 5), Art. 28 DS-GVO Rn. 85; Hartung (o. Fn. 5), Art. 28 DSGVO Rn. 86.

[42] Müthlein, RDV 2016, 74, 82; Gabel/Lutz (o. Fn. 23), Art. 28 DS-GVO Rn. 67.

[43] Bergt (o. Fn. 5), Art. 82 DS-GVO Rn. 55.

[44] S. oben II. 2. c).

[45] Hartung (o. Fn. 5), Art. 28 DS-GVO Rn. 85.

[46] Spoerr (o. Fn. 21), Art. 28 DS-GVO Rn. 43.

[47] Müthlein, RDV 2016, 74, 82.

[48] Petri (o. Fn. 5), Art. 28 DS-GVO Rn. 19.

[49] So auch Petri (o. Fn. 5), Art. 28 DS-GVO Rn. 81.

[50] Spoerr (o. Fn. 22), Art. 28 DS-GVO Rn. 83; vgl. Völkel, PinG 2018, 189, 194.

[51] So auch im Hinblick auf die Kosten eines Audits durch einen Verantwortlichen, vgl. EDSA, Guidelines 07/2020, Version 2.0, Rn. 145.

[52] S. https://www.bitkom.org/sites/default/files/2020-07/190925_position-zum-bundesmuster-zur-auftragsverarbeitung.pdf.

[53] S. https://www.bfdi.bund.de/DE/Datenschutz/DatenschutzGVO/Aktuelles/Aktuelles_Artikel/Muster_Auftragsverarbeitung.html.

[54] S. https://www.gdd.de/downloads/praxishilfen/prax-praxishilfenneustrukturierung/gdd-praxishilfe-ds-gvo-mustervertrag-zurauftragsverarbeitung-gemaess-art-28-ds-gvo, Stand Dezember 2020.

[55] GDD e.V., Mustervertrag zur Auftragsverarbeitung gem. Art. 28 DS-GVO, S. 16; https://www.gdd.de/downloads/praxishilfen/prax-praxishilfenneustrukturierung/gdd-praxishilfe-ds-gvo-mustervertrag-zurauftragsverarbeitung-gemaess-art-28-ds-gvo.

[56] Siehe hierzu die Formulierung „festzulegen sind“ in Art. 28 Abs. 3 S. 1 DS-GVO.