Die Auftragsverarbeitung ist ein zentrales Thema im Datenschutz, insbesondere für mittelständische Unternehmen, die häufig externe Dienstleister für die Verarbeitung personenbezogener Daten beauftragen. Gemäß der Datenschutz-Grundverordnung (DSGVO) ist es unabdingbar, dass der Verantwortliche den Auftragsverarbeiter kontrollieren kann, um sicherzustellen, dass datenschutzrechtliche und vertragliche Pflichten eingehalten werden. Diese Kontrollrechte sind gesetzlich vorgeschrieben, aber deren konkrete Ausgestaltung bietet einen gewissen Spielraum.
Gesetzliche Grundlagen der Dienstleisterkontrolle
Die DSGVO legt in Art. 28 Abs. 3 lit. h fest, dass ein Vertrag zur Auftragsverarbeitung die Möglichkeit von Kontrollen durch den Verantwortlichen beinhalten muss. Der Auftragsverarbeiter ist verpflichtet, alle notwendigen Informationen zur Verfügung zu stellen und dabei aktiv an den Überprüfungen mitzuwirken. Trotz dieser klaren Vorgaben bleibt offen, wie genau diese Kontrollen in der Praxis aussehen sollen. Faktoren wie die Art und Sensibilität der verarbeiteten Daten, das Ausmaß der Verarbeitung und mögliche Risiken für die Betroffenen sollten bei der Festlegung der Kontrollmaßnahmen berücksichtigt werden.
Umsetzung der Kontrollrechte
In der Praxis sind verschiedenste Methoden zulässig, um die Einhaltung der Datenschutzanforderungen durch den Auftragsverarbeiter zu überprüfen. Der Gesetzgeber verlangt keine ständigen Vor-Ort-Kontrollen, sieht diese jedoch als eine Möglichkeit vor. Alternativ können auch andere Ansätze wie das Einholen von Datensicherheitskonzepten, das Ausfüllen detaillierter Fragebögen, Prüfberichte oder die Nutzung zertifizierter Audits herangezogen werden. Besonders bei größeren IT-Dienstleistern oder Rechenzentren können Vor-Ort-Kontrollen sogar kontraproduktiv sein und zusätzliche Risiken bergen. Daher bieten sich hier häufig Kontrollen durch unabhängige Dritte an.
Verhandlung über Kontrollrechte und Kosten
In der Praxis kommt es häufig vor, dass Dienstleister bestimmte Einschränkungen der Kontrollrechte in ihren Verträgen festlegen. Typische Begrenzungen beinhalten zum Beispiel, dass Prüfungen nur während der regulären Geschäftszeiten und ohne Störung des Betriebsablaufs stattfinden dürfen. Auch die Ankündigung von Prüfungen im Voraus ist oftmals vertraglich festgehalten. Solche Einschränkungen müssen jedoch verhältnismäßig und rechtlich vertretbar sein. Vollständige Verbote von Vor-Ort-Kontrollen sind hingegen eindeutig unzulässig.
Ein weiteres spannendes Thema ist die Frage nach den Kosten für Kontrollmaßnahmen. Während die DSGVO hierzu keine eindeutigen Vorgaben macht, hat der Europäische Datenschutzausschuss klargestellt, dass Kostenregelungen keine unüberwindbaren Hürden darstellen dürfen. Die Kostenverteilung sollte fair und angemessen sein, um sicherzustellen, dass der Verantwortliche seine Kontrollrechte auch tatsächlich wahrnehmen kann.
Praktische Empfehlungen
Vor dem Abschluss eines Auftragsverarbeitungsvertrages sollten Verantwortliche sicherstellen, dass die Kontrollrechte klar und praktikabel geregelt sind, ohne übermäßige Einschränkungen. Es ist ratsam, interne Prozesse und Kapazitäten für regelmäßige Überprüfungen vorzusehen oder alternative Prüfmethoden zu definieren. Darüber hinaus sollten Verhandlungen über mögliche Kontrollkosten sorgfältig geführt werden, um unverhältnismäßige finanzielle Belastungen zu vermeiden.
Die Kontrolle von Dienstleistern bleibt eine wesentliche Pflicht für alle Unternehmen, die personenbezogene Daten verarbeiten lassen. Eine transparente und gut strukturierte Regelung in den Verträgen trägt dazu bei, die Datenschutz-Compliance sicherzustellen und potenzielle Risiken für das Unternehmen und die betroffenen Personen zu minimieren.