HALT! Auftragsverarbeitungskontrolle – bitte zahlen?

Regelungen, die eine Konstenübernahme der Kontrollen durch den Auftraggeber vorsehen, werden von den Behörden teilweise kritisch gesehen

Im Zuge der Umsetzung der Datenschutz-Grundverordnung (DS-GVO) müssen die in der Europäischen Union tätigen Unternehmen ihre bisherigen Verträge zur Auftragsverarbeitung (ehemals „Auftragsdatenverarbeitung“) aktualisieren oder neue Auftragsverarbeitungsverträge abschließen. Dabei greifen viele Unternehmen auf die von diversen Fachverbänden und einzelnen Dienstleistern zur Verfügung gestellten Vertragsmuster zurück (beispielsweise hier von der GDD). In vielen meisten Mustern findet sich nun eine Regelung, die zumindest bei einer Datenschutzaufsichtsbehörde, nämlich bei dem Bayerischen Landesbeauftragten für den Datenschutz (BayLfD), auf Ablehnung stößt. Um welche Regelung geht es dabei?

Entgeltpflicht bei Kontrolle

Es geht um die sog. „gesonderte Entgeltpflicht für Kontrollen bei der Auftragsverarbeitung“. Hierbei soll der Auftraggeber vertraglich verpflichtet werden, an den Auftragnehmer (Auftragsverarbeiter) ein Entgelt für die durchgeführten Kontrollen zu zahlen. Die Kontrollen binden ja schließlich unter anderem personelle Ressourcen beim Auftragnehmer, so dass aus deren Sicht hierfür ein Entgelt zu erheben ist. Zudem halten die Kontrolleure eventuell den geordneten betrieblichen Ablauf auf, was ebenfalls Kosten beim Auftragnehmer verursacht. So zumindest die Logik der Auftragsverarbeiter, die ihre Kosten, die im Zusammenhang mit den Kontrollen entstehen, an die „Verursacher“ weitergeben möchten.

Der BayLfD sieht es anders….

Diesen Ansatz sieht die Aufsichtsbehörde jedoch kritisch und hält mit folgender Argumentation dagegen:
Dem Auftraggeber stünden nach Art. 28 Abs. 3 S. 2 lit. h DS-GVO Kontrollrechte zu, die der Verantwortliche ausüben können müsse. Der Auftragnehmer hat diese Kontrollen zu dulden. Denn, würde der Auftragsverarbeiter die Kontrollen in irgendeiner Weise verhindern können, könnte der Verantwortliche seinen umfangreichen Pflichten zur Sicherstellung der vertragsgemäßen Verarbeitung der personenbezogenen Daten nicht erfüllen. Eine gesonderte Entgeltpflicht wirke der Ausübung der Kontrollrechte entgegen und sei daher als eine gesetzeswidrige Praxis abzulehnen. Den Interessen des Auftragsverarbeiters sei dadurch genügend Rechnung getragen, dass jede Partei nach Treu und Glauben verpflichtet wäre, auf die Interessen des Vertragspartners Rücksicht zu nehmen, so dass es zu einer „Überrennung“ des Auftragnehmers nicht kommen könne.

Bitte einpreisen

Dabei bestreitet die Behörde nicht, dass dem Auftragsverarbeiter durch die Kontrollen zusätzliche Kosten entstehen können. Diese dürfe er auch nach Auffassung der BayLfD selbstverständlich an den Auftraggeber pauschal weitergeben. Allerdings sollen die Kosten im Wege einer sog. „Einpreisung“ in das Angebot der vertraglichen Leistung eingerechnet werden. Wie diese „Einpreisung“ zu erfolgen habe, ob mit oder ohne eine explizite Regelung im Leistungsvertrag oder allein durch die „Preisgestaltung“, wird in der Stellungnahme der BayLfD indes nicht gesagt.

Kosten in unbestimmter Höhe

Der Behörde ist insoweit zuzustimmen, dass Entgeltpflichten, die insbesondere der Höhe nach von vornherein nicht festgelegt sind, der Ausübung der Kontrollrechte entgegenwirken könnten. Jedoch darf unseres Erachtens auch nicht unberücksichtigt bleiben, dass der Auftragsverarbeiter im Rahmen der Kontrollen Aufwände hat, die sich bei ihm ohne Vergütung durch den Auftraggeber als Kosten niederschlagen. Der BayLfD hat das Problem letztlich selbst erkannt. Allerdings geht die durch die Behörde vorgeschlagene Lösung der „Einpreisung“ an der Realität vorbei. Wie die pauschale „Einpreisung“ insbesondere im Hinblick auf eine etwaige Kostenanpassung umgesetzt werden soll, bleibt völlig unklar.

Problematisch ist die Kostenerstattungsklausel somit nicht dem Grunde, sondern allenfalls der Höhe nach. So, wie die meisten Musterklauseln formuliert sind, verpflichten sie den Auftraggeber dazu, Kosten in noch zu beziffernder Höhe ohne jegliche Einschränkung zu übernehmen. Diese Regelung „ins Blaue hinein“, kann jedoch nicht richtig sein, denn somit ist für den Auftraggeber völlig unklar, welcher Betrag letztendlich auf der „Rechnung“ stehen wird. Was wird zugrunde gelegt? Welche Überraschung darf der Auftraggeber nachträglich erleben? Schließlich bestellt niemand in einem Restaurant ein Essen, ohne sich zuvor auf der Speisekarte den Preis angeschaut zu haben. Warum sollen im Bereich des Datenschutzes andere Maßstäbe gelten? Nach unserer Überzeugung gibt es hierzu keinen ersichtlichen Grund.

Kosten im Vertrag festlegen

Die Lösung des Problems liegt nach unserer Auffassung darin, in den Auftragsverarbeitungsverträgen die Höhe des regulären Entgelts zumindest grob festzulegen, sodass dieses dem durch die Kontrolle voraussichtlich entstehenden Aufwand beim Auftragsverarbeiter entspricht. Sollte eine Kontrolle höhere, als die vereinbarten Kosten, verursachen, kann im Vertrag entsprechend berücksichtigt werden, dass diese gemäß Nachweis ebenfalls in Rechnung gestellt werden können. Eine Regelung könnte beispielsweise wie folgt lauten:
„Der Auftraggeber verpflichtet sich, die durch eine Kontrolle verursachten und über die vereinbarte Pauschale / den vereinbarten Betrag hinausgehenden tatsächlich angefallenen Kosten zu tragen. Die Höhe der tatsächlich angefallenen höheren Kosten hat der Auftragnehmer nachzuweisen. Für die Berechnung wird der im Hauptvertrag vereinbarte Stundensatz zugrunde gelegt.“

Dies wäre eine eindeutige und transparente Regelung, die für alle Beteiligten nachvollziehbar wäre und den gesetzlichen Kontrollrechten des Auftraggebers nicht entgegenwirken würde. Die Lösung des BayLfD über die „Einpreisung“ berücksichtigt die Interessen des Auftragnehmers unseres Erachtens nicht ausreichend, denn es gibt für ihn keine Möglichkeit eine in den Leistungspreis einmal einkalkulierte Pauschale an die tatsächlich entstandenen Kosten anzupassen. Auch die Häufigkeit der durchgeführten Kontrollen hätte keinen Einfluss auf die Höhe der berechneten Kosten.

Um nun die aufgeworfene Frage nach der Zahlungspflicht zu beantworten, möchten wir abschließend sagen: Zahlen ja, aber bitte nur einen im Vorfeld bestimmten oder zumindest durch Festlegung der den Betrag bestimmenden Parameter umrissenen Betrag.

Müssen Sie Verträge zur Auftragsverarbeitung mit Ihren Geschäftspartnern vereinbaren oder möchten Sie einen solchen Vertrag auf seine Rechtskonformität hin überprüfen lassen? Wenden Sie sich an uns, wir unterstützen Sie!