Berliner Datenschutzaufsicht veröffentlicht Checkliste zur Prüfung von Auftragsverarbeitungsverträgen

Die Berliner Datenschutzaufsichtsbehörde hatte Auftragsverarbeitungsverträge (AVV) von Webhostern und deren Kund*innen geprüft und die hierfür verwendete Checkliste nun der Allgemeinheit zur Verfügung gestellt.

Die Aufsichtsbehörde prüft

Vermutlich die meisten Firmen betreiben ihre Internetpräsenz oder ihren Webshop nicht selbst, sondern geben die Aufgabe an Dienstleister, sogenannte Webhoster, ab. Da hierbei in der Regel personenbezogene Daten der Nutzer*innen verarbeitet werden, ist der Abschluss eines AVV notwendig. Der AVV muss diverse Regelungen enthalten, die in Art. 28 DSGVO aufgeführt sind.

Aufgrund vermehrter Anfragen von Verantwortlichen zu den Standard-AVV der Webhoster hat die Berliner Datenschutzaufsichtsbehörde im Rahmen einer koordinierten Prüfung mit anderen Datenschutzaufsichtsbehörden eine Reihe von Standard-AVV ausgewählter großer Webhoster aus Berlin geprüft.

Um eine einheitliche Prüfung der verschiedenen AVV mit ihren unterschiedlichen Formulierungen zu gewährleisten, hat die Aufsichtsbehörde eine Checkliste und dazugehörige Ausfüllhinweise entwickelt, auf deren Basis die Prüfungen durchgeführt wurden. Diese Checkliste ist auch für die Prüfung der AVV anderer Bereiche als der Webhoster verwendbar.

Aufbau der Checkliste

Mit der Checkliste werden die einzelnen in Art. 28 DS-GVO festgelegten Pflichtinhalte sukzessive abgeprüft. Es kann vermerkt werden, ob der AVV die Anforderung erfüllt und in welcher Passage die entsprechende Regelung im AVV vereinbart wird. Für die Frage, ob die Formulierung im AVV ausreicht, werden in der Checkliste darüber hinaus verschiedene zulässige und unzulässige Formulierungen als Erläuterung aufgeführt. Als typisches Beispiel möchten wir hier die Dauer der Verarbeitung aus der Checkliste herausgreifen. Hierzu enthält die Checkliste diverse Möglichkeiten wie dieser Punkt im AVV umgesetzt sein kann. Dies sind

  • Verweis auf Dauer der Verarbeitung gemäß dem Hauptvertrag oder
  • solange der Auftragnehmer personenbezogene Daten für den Auftraggeber tatsächlich verarbeitet oder
  • Verweis auf den Hauptvertrag; der Hauptvertrag ist (formgerecht) beigefügt und enthält ausreichende Angaben.

Als Indizien, dass die Dauer der Verarbeitung nicht hinreichend detailliert festgelegt wird, werden folgenden Umstände aufgeführt:

  • genannt, aber unzureichend (unvollständig oder unpräzise) beschrieben oder
  • Verweis auf nicht oder nicht formgerecht beigefügten Hauptvertrag oder
  • Verweis auf Hauptvertrag, der keine Angaben enthält oder
  • Verweis auf Hauptvertrag, der unzureichende (unvollständige. unpräzise) Angaben enthält oder
  • unzureichend angegeben.

Aufsichtsbehörde positioniert sich zu einzelnen strittigen Punkten

Interessant ist, dass mit der Checkliste bislang strittige Themen aufgegriffen und die Aufsichtsbehörde nun im Rahmen der Checkliste ihre diesbezüglichen Auffassungen darlegt. Hierzu gehört zum Beispiel die Fragestellung, ob der AVV Bestandteil der Allgemeinen Geschäftsbedingungen (AGB) sein kann. Dies wird von der Aufsichtsbehörde als zulässig erachtet.

Auch die Frage der Zulässigkeit der Kostentragungspflicht des Auftraggebers bei Ausübung von dessen Kontrollrechten einschließlich Vor-Ort-Prüfungen wird in der Checkliste bewertet. An diesem Beispiel möchten wir Ihnen zeigen, ob die Checkliste für jeden geeignet ist, um die nicht ganz triviale Prüfung der AVV durchzuführen. Denn eigentlich sollte die Checkliste mit ihren Ausfüllhinweisen ja eine gute Arbeitsgrundlage zur Prüfung der eigenen AVV sein. Eigentlich… Denn der Teufel steckt wie so oft im Detail.

Die Checkliste auf dem Prüfstand

Die Ausfüllhinweise sollen die Anwendung der Checkliste erleichtern. Einen dieser Hinweise, der die besagten „Erleichterungen“ bringen soll, möchten wir Ihnen nachfolgend näherbringen:

Unter „Erfüllt“ sind typische Fälle zum Ankreuzen vorgesehen bzw. Eintragungen vorzunehmen, wenn die gesetzlichen Anforderungen durch den AVV hinsichtlich des konkreten Aspekts der Prüfung erfüllt werden, unter „Nicht erfüllt“, wenn diese nicht erfüllt sind. Es kann vorkommen, dass einige zulässige Regelungen im AVV enthalten sind (Spalte „Erfüllt“), aber auch einige nicht zulässige Regelungen (Spalte „Nicht erfüllt“). Ist auch nur ein Kreuz unter „Nicht erfüllt“ zu setzen, entspricht die gesamte Regelung nicht den gesetzlichen Anforderungen. Ausnahme: Wenn die Spalte „Erfüllt“ einen Ausnahmefall zum allgemeinen Fall in der Spalte „Nicht erfüllt“ enthält (etwa „Nicht erfüllt“: vorherige Anmeldung erforderlich; „Erfüllt“: vorherige Anmeldung erforderlich, außer dort genannte Bedingungen sind erfüllt). In einem solchen Ausnahmefall wird der allgemeine Fall in der Spalte „Nicht erfüllt“ durch den spezielleren Fall in Spalte „Erfüllt“ verdrängt und sollte nicht angekreuzt werden.

Mussten Sie den zweiten Teil des Absatzes zweimal lesen? Wir auch.

Machen wir es wieder konkret an einem Beispiel fest, dem immer wieder streitbaren Thema der Kostentragungspflicht bei den Kontrollrechten einschließlich Vor-Ort-Prüfungen des Auftraggebers:

Zur Kostentragungspflicht des Auftraggebers werden in der Spalte „erfüllt“ keine zulässigen Formulierungen für den AVV aufgeführt. Es scheint also auf den ersten Blick keine Möglichkeit zu geben, dem Auftraggeber die Kosten für die Kontrollen zu übertragen.

In der Spalte „nicht erfüllt“ wird die „Kostentragungspflicht durch den Auftraggeber, auch wenn Kontrolle wegen Gesetzes- oder Vertragsverstoß durch Auftragnehmer erforderlich wurde“, als unzulässig eingestuft. Dazu gibt es eine Fußnote „Hierfür genügt eine allgemeine Kostentragungspflicht ohne Ausnahmen für diesen Fall“. Bedeutet das, dass die Übernahme der Kosten zulässig ist, wenn diese nicht die Fälle umfasst, bei denen eine Kontrolle wegen Gesetzes- oder Vertragsverstoß durch den Auftragnehmer erforderlich wurde oder ist die Kostenübernahme nicht zulässig?

Fazit

Es ist offensichtlich: Einen AVV kann man ohne fachliche Kenntnisse nicht bedenkenlos „einfach mal schnell“ anhand einer Checkliste prüfen, noch nicht mal (oder gerade wenn?) diese von einer Aufsichtsbehörde stammt. Bereits eine kleine Unschärfe in der Formulierung, ein „nicht“ überlesen oder Ähnliches, und schon ist der Sinn ein ganz anderer.

Das Risiko: Ein nicht oder nicht ordnungsgemäß abgeschlossener AVV kann zu einem Bußgeld in Höhe von bis zu 10 Millionen Euro oder von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs führen (die jeweils höhere Regelung findet Anwendung; siehe Art. 83 Abs. 4 lit. a DSGVO)

Darüber hinaus ist festzustellen, dass die Aufsichtsbehörden der einzelnen Bundesländer zu einzelnen Details durchaus auch voneinander abweichende Meinungen vertreten. Es kommt also im Zweifel auch noch darauf an, wo der Verantwortliche (also gerade nicht der Auftragsverarbeiter) seinen Sitz hat. Für Auftragsverarbeiter ist dies sicher keine schöne Aussage, lässt sich aber leider aufgrund des Föderalismus in Deutschland nicht vermeiden.

______________________________________

Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.

Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.

Und einen Podcast haben wir auch. Gemeinsam mit der Mauß Datenschutz GmbH veröffentlichen wir alle zwei Wochen jeweils donnerstags eine neue Folge. Hören Sie doch einfach mal rein oder abonnieren Sie uns – zum Beispiel hier.