Kurzbeitrag : DS-GVO: Wer trägt die Kosten einer anlasslosen Inspektion bei einem Auftragsdatenverarbeiter? : aus der RDV 6/2022, Seite 315 bis 317
Die Sichtweise des BayLfD auf wirtschaftliche Fragen hat sich geändert
War der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) in der Vergangenheit noch der Auffassung, dass der Auftragnehmer einer Auftragsdatenverarbeitung nach Art. 28 DS-GVO die Kosten für ein anlassloses Audit tragen muss, so vertritt er die Sichtweise in dieser Form nicht mehr. Grundsätzlich hat er sich nun der Sichtweise des Europäischen Datenschutzausschusses angeschlossen, wonach die wirtschaftliche Gestaltung der Austauschbeziehung zwischen dem Verantwortlichen und dem Auftragsverarbeiter durch den Markt und nicht durch die Datenschutz-Grundverordnung reguliert wird.
In der Vergangenheit wurde der BayLfD gerne von Verantwortlichen zitiert, wenn es um die Kosten für anlassloses Audit beim Auftragsdatenverarbeiter ging entfällt zukünftig diese Argumentationsgrundlage.
Früher vertrat der BayLfD die Ansicht,[1] wonach keine gesonderte Entgeltpflicht für die Wahrnehmung von Kontrollrechten beim Auftragsverarbeiter vereinbart werden darf. Denn die Wahrnehmung der Kontrollrechte des Auftraggebers aus datenschutzrechtlicher Sicht soll nicht von einem besonderen Entgelt abhängig gemacht werden. Dies gilt gerade auch für Vor-Ort-Kontrollen beim Auftragsverarbeiter. Ein gesondertes Entgelt würde einer Ausübung der Kontrollrechte entgegenwirken. Die Vereinbarung eines Entgelts, einer Aufwandsentschädigung oder eines sonstigen Kostenbeitrags – auch die Vereinbarung, hierzu im Bedarfsfall nachträglich eine die Auftragsverarbeitungsvereinbarung ergänzende Regelung zu treffen – führt dazu, dass eine Inspektion beim Auftragsverarbeiter als etwas „Außergewöhnliches“ wahrgenommen wird, das dem Auftraggeber „eigentlich“ nicht zusteht und gerade deshalb außerhalb der wechselseitigen Austauschbeziehung zu vergüten ist. Davon abgesehen, kann ein solches Entgelt entweder auf Grund seiner bereits erkennbaren (absoluten) Höhe oder der vertraglich angelegten Unklarheit seiner Berechnung abschreckende Wirkung entfalten. Diese Sichtweise wurde in der Literatur erheblich wegen der Verletzung der Vertragsfreiheit kritisiert[2] und stand auch im Gegensatz zur Sichtweise des Bayerischen Landesamts für Datenschutzaufsicht: Auf die Frage „Darf ein Auftragsverarbeiter für Kontrollmaßnahmen des Auftraggebers Extrakosten verlangen?“ antwortete die Behörde: „Die Preisgestaltung für DV-Dienstleistungen nach Art. 28 DS-VGO ist eine primär zivilrechtliche Frage des Vertragsverhältnisses und, solange kein Rechtsmissbrauch vorliegt, Sache der Vertragspartner.“[3]
Nun hat der BayLfD seine Ansicht erfreulicherweise geändert[4] und schließt sich der Auffassung des Europäischen Datenschutzausschusses an. So hat der Europäische Datenschutzausschuss bereits im Juli 2021 nach öffentlicher Konsultation die überarbeiteten Leitlinien 7/2020 zu den Begriffen des Verantwortlichen und des Auftragsverarbeiters in der DS-GVO veröffentlicht, in denen zur Frage einer Entgeltpflicht für Kontrollen bei der Auftragsverarbeitung die folgenden Erwägungen neu aufgenommen wurden.[5]
„Die Frage der Kostenverteilung zwischen einem Verantwortlichen und einem Auftragsverarbeiter im Zusammenhang mit Überprüfungen fällt nicht unter die DS-GVO und unterliegt wirtschaftlichen Erwägungen. Artikel 28 Absatz 3 Buchstabe h sieht jedoch vor, dass der Vertrag den Auftragsverarbeiter verpflichtet, dem Verantwortlichen alle erforderlichen Informationen zur Verfügung zu stellen, und dass er verpflichtet ist, Überprüfungen einschließlich Inspektionen, die vom Verantwortlichen oder einem anderen vom Verantwortlichen beauftragten Prüfer durchgeführt werden, zu ermöglichen und dazu beizutragen. In der Praxis bedeutet dies, dass die Vertragsparteien keine Klauseln vereinbaren sollten, die die Zahlung eindeutig unangemessener oder unverhältnismäßig hoher Kosten und Gebühren zum Gegenstand haben und dadurch eine abschreckende Wirkung auf eine der Parteien ausüben würden. Solche Klauseln würden in der Tat bedeuten, dass die in Artikel 28 Absatz 3 Buchstabe h festgelegten Rechte und Pflichten in der Praxis nie ausgeübt würden und rein theoretisch wären, obwohl sie integraler Bestandteil der Datenschutzgarantien nach Artikel 28 DS-GVO sind.“
Der Europäische Datenschutzausschuss weist auch neuerdings nach der Ansicht des BayLfD zutreffend darauf hin, dass die wirtschaftliche Gestaltung der Austauschbeziehung zwischen dem Verantwortlichen und dem Auftragsverarbeiter durch den Markt und nicht durch die DS-GVO reguliert wird.[6] Dies bedeutet jedoch nach der Ansicht des BayLfD auch, dass es dem Verantwortlichen unbenommen ist, ihm unterbreitete Angebote von Auftragsverarbeitern auf ihre Datenschutzfreundlichkeit zu prüfen und diesen Gesichtspunkt bei der Auswahl des Vertragspartners zu berücksichtigen.[7] Der Verantwortliche wird zudem entsprechende Vorgaben in einen Ausschreibungstext aufnehmen können, wenn die benötigte Leistung in einem Vergabeverfahren beschafft wird.[8]Dies ändert aber nichts daran, dass die Hoheit über die kommerziellen Aspekte einer Auftragsverarbeitungsvereinbarung (AVV) in den Händen der Vertragsparteien liegen und hierzu maximal Rahmenbedingungen als Empfehlungen genannt werden dürfen. Denn nach der ständigen Rechtsprechung des Bundesverfassungsgerichts ist die Vertragsfreiheit die Ausprägung des Grundsatzes der Privatautonomie im deutschen Zivilrecht, die es jedermann gestattet, Verträge abzuschließen, die sowohl hinsichtlich des Vertragspartners als auch des Vertragsgegenstandes frei bestimmt werden können. Dies gilt, sofern sie nicht gegen zwingende Vorschriften des geltenden Rechts, gesetzliche Verbote oder die guten Sitten verstoßen,[9] und solche zwingenden Vorschriften sieht die DS-GVO nicht vor.[10]
Die Bedenken des Europäischen Datenschutzausschusses, dass die Kosten oder Gebühren Maßnahmen des Verantwortlichen nach Art. 28 Abs. 3 Satz 2 Buchst. h DS-GVO behindern können,[11] sind dabei auf jeden Fall ernst zu nehmen, ändern aber nichts an der grundsätzlichen Vertragshoheit der Parteien.
Die Bedenken des BayLfD, dass ein gesondertes Entgelt einer Ausübung der Kontrollrechte entgegenwirken würde, ändert ebenfalls nichts an der grundsätzlichen Vertragsfreiheit.[12] Allerdings ist auch hier die Sichtweise des BayLfD zu beachten, dass die Vereinbarung eines Entgelts, einer Aufwandsentschädigung oder eines sonstigen Kostenbeitrags für eine Inspektion den Eindruck erweckt, als sei ein solches Audit etwas, das über die vereinbarte Geschäftsbeziehung hinausgeht und gerade deshalb außerhalb der wechselseitigen Austauschbeziehung zu vergüten ist.[13] Dabei sollte es nicht dazu kommen, dass ein solches Entgelt entweder auf Grund seiner bereits erkennbaren (absoluten) Höhe oder der vertraglich angelegten Unklarheit seiner Berechnung abschreckende Wirkung entfalten.[14]
Der BayLfD äußert sich auch zur Unverhältnismäßigkeit der Kosten für ein anlassloses Audit. Ob nach der Ansicht des BayLfD eine Klausel für Maßnahmen nach Art. 28 Abs. 3 Satz 2 Buchst. h DS-GVO ein eindeutig unverhältnismäßiges oder überhöhtes Entgelt vorsieht, das auf den Verantwortlichen eine abschreckende Wirkung hat, ist stets in Anbetracht der Umstände des Einzelfalls zu würdigen.[15]Eine abschreckende Wirkung sollte aber nicht vorliegen, wenn der Auftragsverarbeiter eine angemessene Taxe verlangt, wie sie z.B. das Gesetz in § 612 Abs. 2 BGB oder § 632 Abs. 2 BGB vorsieht. So sieht es in gewisser Weise auch der BayLfD, da er zu Recht sagt, dass ein eindeutig überhöhtes Entgelt insbesondere dadurch erkennbar ist, dass der tatsächliche Aufwand beim Auftragsverarbeiter zu den vereinbarten Kosten oder Gebühren in einem grob unangemessenen Verhältnis steht (so etwa bei „Fantasiepreisen“ für den Einsatz personeller oder sachlicher Ressourcen oder bei der Erhebung von Kontrollgebühren, denen der Auftragsverarbeiter einen Aufwand nicht plausibel zuordnen kann).[16]Diese Fantasiepreise würden sicherlich nicht den zitierten gesetzlichen Regelungen entsprechen, und ein pauschales Verlangen von Kontrollgebühren würden auch nicht dem zivilrechtlichen Modell eines synallagmatischen Vertrages entsprechen.[17]
Auch ist der Auftragsverarbeiter immer noch ein Wirtschaftsunternehmen und keine Non-Profit-Organisation; deshalb kann er für seine Leistungen eine angemessene Vergütung verlangen. Wird eine angemessene Vergütung schon als unverhältnismäßig angesehen, so scheint dem Verantwortlichen nicht klar zu sein, dass es die Maßnahmen zum Datenschutz nicht umsonst gibt.
Auch führt der Gedanke an eine Pauschale für alle anlasslosen Audits nicht zum gewünschten Ziel, denn der Auftragsverarbeiter kann, wie bei allen pauschal vereinbarten Beträgen, nur sehr schwer abschätzen, wie hoch der Aufwand und die Kosten für den jeweiligen Kunden im Vorfeld sein könnten.[18]
Nach der Ansicht des BayLfD kann ein Fall eindeutiger Unverhältnismäßigkeit insbesondere vorliegen, wenn die während der Vertragsdauer für Maßnahmen nach Art. 28 Abs. 3 Satz 2 Buchst. h DS-GVO erwartbaren Kosten oder Gebühren die Gestalt der vom Verantwortlichen zu erbringenden Hauptleistung wesentlich verändern.[19] Hierbei ist sicherlich über den Begriff „wesentlich“ zu diskutieren. Aber die grundsätzliche Sichtweise des BayLfD ist dabei absolut richtig, insbesondere für den Fall, dass die Vorgabe aus Art. 28 Abs. 3 Satz 2 Buchst. h DS-GVO dadurch nicht mehr erfüllt wird.
Im weiteren Verlauf der Kurz-Information weist der BayLfD zu Recht darauf hin, dass seine Empfehlung nur für bayerische öffentliche Stellen gelten.[20] Oft wurde in der Praxis die Sichtweise des BayLfD auch für private Unternehmen und auch außerhalb von Bayern als verbindlich angesehen. Dies hat der BayLfD in seiner Information nun noch einmal richtiggestellt, obwohl sich dies bereits aus seiner Aufgabenstellung ergibt.[21]
Fraglich sollte dagegen sein, ob die Vertragsparteien bereits im Vorfeld eine Aufwandsprognose erstellen können, wie sie der BayLfD empfiehlt. Gegebenenfalls wäre denkbar, dass man generell eine konkrete Zahl anlassloser Audits im Jahr im AVV vereinbart und dafür eine feste Vergütung vorsieht. Richtig ist auch, dass dafür entsprechende Mittel im Haushalt der jeweiligen Behörde zu berücksichtigen sind.
III. Resümee
Sehr zu begrüßen ist, dass der BayLfD – wie schon immer das Bayerische Landesamts für Datenschutzaufsicht –, nun auch der Auffassung ist, dass die Vergütung für anlasslose Audits von den Vertragsparteien unter den Aspekt der Vertragsfreiheit zu vereinbaren sind.
Die Empfehlung, eine angemessene Vergütung zu vereinbaren, ist richtig und Fantasiepreise für die Vergütung von Audits zu verlangen, würde nicht den Rechtsgedanken der § 612 Abs. 2 BGB oder § 632 Abs. 2 BGB entsprechen. Eine generelle Kontrollgebühr zu verlangen ohne dass eine konkrete Gegenleistung damit verbunden ist, würde ebenfalls nicht dem zivilrechtlichen Modell eines synallagmatischen Vertrages entsprechen. Auch sind die weiteren Empfehlungen des BayLfD durchaus als vernünftig und richtig anzusehen, wenn auch nicht immer im Absolutum.
* Prof. Dr. Thomas Söbbing, LL.M. lehrt Zivilrecht mit dem Recht der Digitalen Wirtschaft an der Hochschule Kaiserslautern.
[1] Aktuelle Kurz-Information 6 in der Fassung vom 01.08.2018: Keine gesonderte Entgeltpflicht für Kontrollen bei der Auftragsverarbeitung“, https://www.datenschutz-bayern.de/datenschutzreform2018/aki06.html, abgerufen am 15.07.2021.
[2] Söbbing, DB 2021, DSB 2021, 308.
[3]Https://www.lda.bayern.de/de/faq.html, abgerufen am 16.07.2021
[4] Aktuelle Kurz-Information 6 des BayLfD: Entgeltpflicht für Kontrollen bei der Auftragsverarbeitung?, Stand: 15.11.2021
[5] European Data Protection Board, Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DS-GVO, Version 2.0, angenommen am 07.07.2021, Nr. 145, https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-072020-concepts-controller-and-processor-gdpr_de, abgerufen am 16.08.2022.
[6] Aktuelle Kurz-Information 6 des BayLfD: Entgeltpflicht für Kontrollen bei der Auftragsverarbeitung?, Stand: 15.11.2021.
[7] Aktuelle Kurz-Information 6 des BayLfD: Entgeltpflicht für Kontrollen bei der Auftragsverarbeitung?, Stand: 15.11.2021.
[8] Aktuelle Kurz-Information 6 des BayLfD: Entgeltpflicht für Kontrollen bei der Auftragsverarbeitung?, Stand: 15.11.2021.
[9] BVerfGE 8, 274 – Rn. 212, BVerfGE 95, 267 – Rn. 142.
[10] Söbbing, DB 2021, DSB 2021, 308.
[11] European Data Protection Board Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DS-GVO, Version 2.0, angenommen am 07.07.2021.
[12] Söbbing, DB 2021, DSB 2021, 308.
[13] Aktuelle Kurz-Information 6 des BayLfD in der Fassung vom 01.08.2018.
[14] Aktuelle Kurz-Information 6 des BayLfD in der Fassung vom 01.08.2018.
[15] Aktuelle Kurz-Information 6 des BayLfD in der Fassung vom 01.08.2018
[16] Aktuelle Kurz-Information 6 des BayLfD in der Fassung vom 01.08.2018.
[17] BGH, NJW 2000, 3046.
[18] Söbbing, DB 2021, DSB 2021, 308.
[19] Aktuelle Kurz-Information 6 des BayLfD in der Fassung vom 01.08.2018
[20] Aktuelle Kurz-Information 6 des BayLfD in der Fassung vom 01.08.2018
[21]https://www.datenschutz-bayern.de/ODSP.htm, abgerufen am 16.08.2022.