Auftragsverarbeitung – Kontrolle der (Unter-)Auftragnehmer

Muss kontrolliert werden? Und wenn ja, wie, wie oft und wen?

12.05.2022

Sofern ein Verantwortlicher im Rahmen der Inanspruchnahme einer fremden Dienstleistung personenbezogene Daten durch einen Auftragsverarbeiter (Auftragnehmer) verarbeiten lässt – der Dienstleister also nicht eigenverantwortlich, wie beispielswiese ein Steuerberater oder eine Bank, handelt – schreibt die Datenschutz-Grundverordnung in Art. 28 DSGVO vor, dass zwischen dem Verantwortlichen und einem Auftragsverarbeiter ein spezieller Vertrag („Auftragsverarbeitungsvertrag“ gem. Art. 28 DSGVO, kurz AV-Vertrag oder AVV) abzuschließen ist. Dieser Vertrag regelt die Verarbeitung der personenbezogenen Daten im Auftrag des Verantwortlichen und stellt ein recht enges Korsett dar, bei dem der Auftragnehmer an die Weisungen des Auftraggebers gebunden ist.

Die Inhalte des AV-Vertrages sind gesetzlich verbindlich vorgeschrieben und in Art. 28 Abs. 3 lit. a bis h DSGVO näher geregelt. Einer dieser Punkte, der vertraglich zu regeln ist, führt jedoch immer wieder zu Fragen in der datenschutzrechtlichen Praxis. Wir reden hier über die Kontrollen der Auftragnehmer oder aber auch deren Subunternehmer durch die Verantwortlichen. Was ist hier genau zu regeln und wie müssen die Kontrollen aussehen?

Gesetzliche Regelung

Die gesetzliche Regelung bzgl. der Kontrollen des Auftragsverarbeiters durch den Verantwortlichen ist in Art. 28 Abs. 3 lit. h DSGVO in der Form zu finden, dass der zu schließende AV-Vertrag eine Regelung enthalten muss, wonach der Auftragsverarbeiter „dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der [in Art. 28 DSGVO] niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt.“

Der Gesetzgeber geht also davon aus, dass der Verantwortliche Überprüfungen und Inspektionen (Kontrollen) durchführt und ein Auftragsverarbeiter diese zu ermöglichen hat, sie also auch dulden muss.

Da gemäß Art. 28 Abs. 4 ein Haupt-Auftragnehmer allen eingesetzten Unter-Auftragnehmern dieselben Datenschutzpflichten aufzuerlegen hat, die in dem AV-Vertrag zwischen dem Verantwortlichen und dem Haupt-Auftragsverarbeiter gemäß Absatz 3 festgelegt sind, sind alle eingesetzten Unter-Auftragnehmer ebenfalls verpflichtet, Kontrollen zu ermöglichen und der Verantwortliche und/oder der Haupt-Auftragsverarbeiter entsprechend berechtigt, diese Kontrollen durchzuführen.

Müssen die Kontrollen durchgeführt werden?

Wenn der Verordnungsgeber verlangt, dass dem Verantwortlichen Kontrollen zu ermöglichen sind, dieser also kontrollieren darf, ist damit die Frage, inwiefern der Verantwortliche verpflichtet wäre, solche Kontrollen durchzuführen, jedoch nicht beantwortet. Eine ausdrückliche Pflicht zur Durchführung der Kontrollen kennt die DSGVO – so seltsam es auch klingen mag – nicht. Lediglich das Recht, Kontrollen durchzuführen, muss vereinbart werden.

Eine solche Pflicht wird (nach allgemeiner Auffassung) grundsätzlich angenommen, denn das Kontrollrecht des Verantwortlichen verdichtet sich zu einer Kontrollpflicht, wenn man die Regelung des Art. 28 Abs. 3 lit. h DSGVO zusammen mit der folgenden Regelung des Art. 28 Abs. 1 DSGVO liest:

„Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.“

Als Zwischenergebnis können wir also festhalten:
Die Pflicht, den (Haupt-)Auftragnehmer sowie die Unter-Auftragnehmer regelmäßig während des gesamten Zeitraums der Zusammenarbeit (und nicht nur zu Beginn) zu kontrollieren, kann aus Art. 28 Abs. 1 DSGVO direkt abgeleitet werden. Aber auch Art. 32 DSGVO führt mittelbar zu der Schlussfolgerung, dass zumindest ein Konzept erforderlich ist, in dessen Rahmen der Verantwortliche planen muss, wie, wie oft und welche Auftragsverarbeiter er zu kontrollieren beabsichtigt. In Art. 32 Abs. 1 lit. d DSGVO wird festgelegt, dass der Verantwortliche

„ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung“

implementiert. Da der Verantwortliche für die gesamte Verarbeitung, einschließlich der vom Auftragsverarbeiter und eventueller Unter-Auftragsverarbeiter durchgeführten Verarbeitungen verantwortlich ist, besteht diese Verpflichtung auch für deren Tätigkeiten.

Wie muss kontrolliert werden?

Doch wie oft muss ein Verantwortlicher seine Auftragnehmer (inkl. der Unterauftragnehmer) kontrollieren und wie intensiv?

Hierzu kann uns die DSGVO mit verbindlichen Vorgaben leider nicht helfen. Der Umfang, die Intensität und die Häufigkeit der Kontrollen richten sich stets danach, wie hoch die Risiken für die betroffenen Personen sind, deren Daten verarbeitet werden. Bei Verarbeitungen, die mit hohen Risiken für Rechte und Freiheiten der betroffenen Personen verbunden sind, muss entsprechend häufiger und intensiver kontrolliert werden als bei Verarbeitungen, bei denen die Risiken für Betroffene überschaubar und nicht (besonders) hoch sind. So sehen die Aufsichtsbehörden eine jährliche Durchführung von Kontrollmaßnahmen bei einem normalen Risiko als angemessen an.

Die Kontrollen können als Vor-Ort-Kontrollen stattfinden, indem der Verantwortliche oder eine durch ihn beauftragte Person die Verarbeitungssituation sowie die Einhaltung der Vereinbarungen des AV-Vertrages beim jeweiligen Haupt- und/oder auch Unter-Auftragnehmer überprüft.

Die Vor-Ort-Kontrollen sind bei den Auftragsverarbeitern oder auch bei Verantwortlichen jedoch sehr unbeliebt, da sie meist sehr kostspielig sind. Die Kosten für eine Kontrolle variieren erfahrungsgemäß je nach Aufwand durchschnittlich zwischen 1.000,- und 1.500,- EUR. Insbesondere ist die Regelung der Kostenverteilung bisweilen schwierig, denn teilweise vertraten die Aufsichtsbehörden die Auffassung, dass die Durchführung der Kontrollen nicht mit der Übernahme der Kosten durch den Verantwortlichen verbunden und in einem AV-Vertrag als eine Entgeltvereinbarung nicht geregelt sein darf. Nach deren Auffassung würde dies den Verantwortlichen von der Durchführung der Kontrollen abschrecken (Abschreckungswirkung einer Kostenvereinbarung). Die Aufsicht verlangte die „Einpreisung“ erforderlicher Kontrollen in die eigentliche Leistung. Dies war und ist jedoch im Vorfeld schwierig, da Art und Umfang der Kontrollen weitestgehend vom Auftraggeber bestimmt werden können und daher im Vorfeld schlecht zu quantifizieren sind.

Inzwischen haben die Aufsichten ihre Rechtsauffassung etwas gelockert, so dass Entgeltvereinbarungen in einem AV-Vertrag nicht per se für unzulässig gehalten, sondern unter bestimmten Voraussetzungen als möglich erachtet werden (hierzu vgl. die Stellungnahme des Bayerischen Landesbeauftragten für den Datenschutz (BayLfD) vom 15.11.2021; abrufbar unter: https://www.datenschutz-bayern.de/datenschutzreform2018/aki06.html).

Für Dienstleister sind die Vor-Ort-Kontrollen auch deshalb problematisch, weil man beachten muss, dass sie unter Umständen mehrere Tausend oder gar Millionen von Kunden haben können, so dass die Kontrollen, falls sie von einer großen Zahl der Kunden vor Ort durchgeführt werden, den Geschäftsbetrieb lahmlegen und sehr hohe Kosten verursachen könnten.

Als eine Als pragmatische und praxistaugliche Lösung haben sich sogenannte Self-Assessment-Kontrollen durchgesetzt, bei denen ein Auftragsverarbeiter die an ihn seitens eines Verantwortlichen gerichteten Fragen bzgl. der zu kontrollierenden Bereiche beantwortet. Zudem kann der Auftragnehmer vorhandene Testate unabhängiger Stellen und Prüfer zum Nachweis der Umsetzung der vereinbarten Maßnahmen zur Dokumentation der Umsetzung vorlegen. Dadurch können die Kontrollen deutlich einfacher und auch günstiger gehalten werden.

Die Self-Assessment-Lösung wird durch die Aufsichtsbehörden als ein valides Mittel zur Durchführung der Kontrollen anerkannt, so dass es den Verantwortlichen und den Dienstleistern als Alternative zu den Vor-Ort-Kontrollen auch gut empfohlen werden kann.

Wie könnte ein Audit-Plan aussehen?

Die Durchführung der Auftragskontrolle könnte – grob strukturiert – wie folgt ablaufen:

  • Kontrolle der Einhaltung der im AV-Vertrag vereinbarten technischen und organisatorischen Maßnahmen (TOM), zum Beispiel durch Vorlage der oben erwähnten Testate unabhängiger Stellen
  • Kontrolle der Einhaltung der verpflichtenden Regelungen des AV-Vertrages und insbesondere:
    • Sicherstellung der Verpflichtung der Beschäftigten des Auftragsverarbeiters auf die Vertraulichkeit,
    • Kontrolle der Einhaltung der Weisungen des Verantwortlichen,
    • Vorhandensein eines Prozesses zur Erfüllung der Betroffenenrechte (Anweisung bzgl. der Weiterleitung der Anfragen betroffener Personen an den Verantwortlichen),
    • Vorhandensein eines Prozesses, der den Umgang mit Datenschutzverletzungen regelt, etc.

Sofern die Kontrollen nicht als Vor-Ort-Kontrollen organisiert sein sollen, bei denen die Auditoren ihre Fragen an den Dienstleister richten, sondern mit Fragenkatalogen (als Self-Assessment) durchgeführt werden, so wären die Fragen, die sich auf die o.g. Bereiche beziehen, möglichst präzise zu formulieren, so dass dem Auftragnehmer sofort klar wird, was von ihm verlangt wird. Denn leider sind manche Fragen erfahrungsgemäß so formuliert, dass sie ohne eine Rückfrage beim Verantwortlichen nicht ohne weiteres beantwortet werden können. Geben die im Rahmen des Self-Assessments erteilten Antworten Grund zu der Annahme, dass die beim Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen nicht ausreichen, um einen dem Risiko der Verarbeitung personenbezogener Daten angemessenen Schutz zu gewährleisten, werden Vor-Ort-Kontrollen im Nachgang allerdings unabdingbar sein.

Was passiert, wenn die Auftragskontrolle nicht oder nicht regelmäßig erfolgt?

Sofern Kontrollen gänzlich ausfallen oder wenn die Auftragsverarbeiter nicht regelmäßig kontrolliert werden, kann es dazu führen, dass die Datenschutzaufsicht aufgrund einer fehlenden regelmäßigen Kontrolle ein Bußgeld verhängen kann. Wir erinnern bei dieser Gelegenheit an die Regelung des Art. 83 Abs. 1 DSGVO, welche verlangt, dass Bußgelder in jedem Einzelfall „wirksam, verhältnismäßig und abschreckend“ sein müssen.

So war das beispielsweise in dem Fall in dem wir hier berichtet hatten, in dem die polnische Aufsichtsbehörde Urząd Ochrony Danych Osobowych (UODO) ein Bußgeld in Höhe von 460.000 EUR verhängt hatte, weil die Prüfaktivitäten des Verantwortlichen weder regelmäßig noch ausreichend waren und im Endeffekt zu zahlreichen Verletzungen des Schutzes personenbezogener Daten der betroffenen Personen führten.

Fazit

Die Kontrollen der Auftragnehmer durch den Auftraggeber sind nicht nur verpflichtend, sondern auch im eigenen Interesse des Verantwortlichen. Denn die Kontrollen beugen insbesondere möglichen Datenschutzverletzungen vor und damit nicht nur einem Bußgeld oder Schadensersatzanspruch, sondern auch einem möglichen Imageschaden. Der Imageschaden trifft vor allem den Verantwortlichen und kann durchaus sehr groß sein, wenn ein (kleiner) Dienstleister die Daten eines angesehenen Unternehmens schlecht schützt und dies aufgrund mangelhafter Kontrollen nicht auffällt.

______________________________________

Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.

Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.

Und einen Podcast haben wir auch. Gemeinsam mit der Mauß Datenschutz GmbH veröffentlichen wir alle zwei Wochen jeweils donnerstags eine neue Folge. Hören Sie doch einfach mal rein oder abonnieren Sie uns – zum Beispiel hier.