Hinweise zu Entgeltpflichten bei Vor-Ort-Kontrollen in Vereinbarungen zur Auftragsverarbeitung.
“Vor diesem Hintergrund dürfen die Kontrollrechte des Verantwortlichen, insbesondere die Vor-Ort-Kontrollen, nicht von einem Entgelt abhängig gemacht werden, da dies der Durchsetzung der Kontrollpflichten wohl in vielen Fällen entgegenwirken würde.” – Eileen Binder
Selbst 100 Tage nach Geltungsbeginn der DSGVO besteht bei vielen Unternehmen noch immer Unsicherheit bei der inhaltlichen Gestaltung von Verträgen zur Auftragsverarbeitung. So fordern einige Auftragnehmer von Ihren Auftraggebern Kostenerstattungen bei Vor-Ort-Kontrollen zuzustimmen. Die bayrische Aufsichtsbehörde hat sich in der Aktuellen Kurzinformation 6 der Frage angenommen, inwieweit sich Auftraggeber für Vor-Ort-Kontrollen zu einem Entgelt verpflichten lassen müssen.
Der Auftraggeber bleibt im Anwendungsbereich des Art. 28 DSGVO Verantwortlicher der Datenverarbeitung. Er ist weisungsberechtigt, entscheidet über den Zweck der Verarbeitung, hat dafür Sorge zu tragen, dass die Verarbeitung rechtlich zulässig ist und er die Betroffenenrechte vollständig erfüllen kann. Um diese Pflichten angemessen erfüllen zu können, muss der Verantwortliche Einblick in die Verarbeitungstätigkeit des Auftragsverarbeiters erhalten können.
Art. 28 Abs. 3 S. 3 lit. h DSGVO regelt, dass der Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen -, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt. Dem Verantwortlichen stehen demnach Kontrollrechte zu, die ohne weitere Begründung seitens des Verantwortlichen auszuüben sein müssen und gegen die dem Auftragsverarbeiter keinerlei gesetzliche Abwehrrechte zustehen.
Vor diesem Hintergrund dürfen die Kontrollrechte des Verantwortlichen, insbesondere die Vor-Ort-Kontrollen, nicht von einem Entgelt abhängig gemacht werden, da dies der Durchsetzung der Kontrollpflichten wohl in vielen Fällen entgegenwirken würde. Kontrollen würden als etwas „außergewöhnliches“ wahrgenommen werden, das dem Verantwortlichen „eigentlich“ nicht zusteht und somit im Sinne eines gegenseitigen Vertragsverhältnisses zu vergüten wäre. Hinzu kommt, dass Vergütungen abschreckende Wirkung entfalten und den Verantwortlichen von der Wahrnehmung seiner Kontrollpflichten abhalten können.
Wir empfehlen, künftig vor Unterzeichnung einer Vereinbarung zur Auftragsverarbeitung etwaige Entgeltverpflichtungen für Kontrollen aus der Vereinbarung herauszunehmen. Stattdessen sollte dem Interesse des Auftragsverarbeiters insofern Rechnung getragen werden, dass die Kontrollen entsprechend rücksichtsvoll näher bestimmt werden. In Betracht kommt, eine Vor-Ort-Kontrolle grundsätzlich mit einer bestimmten Frist vorher anzukündigen oder die Zahl der Kontrollen mengenmäßig zu begrenzen. Unbenommen davon bleibt es dem Auftragsverarbeiter offen, Vor-Ort-Kontrollen seines Auftraggebers pauschal in das Angebot der hauptvertraglichen Leistung mitaufzunehmen.
Gerne unterstützen wir Sie bei der Ausgestaltung und Verhandlung Ihrer Vereinbarungen zur Auftragsverarbeitung und stehen Ihnen darüber hinaus jederzeit gerne für Fragen zur Verfügung.
Artikel zum selben Thema:
Pressemitteilung zur Löschung von Corona-Daten
Die Landesbeauftragten für den Datenschutz in Niedersachsen und Baden-Württemberg beschäftigt aktuell ein sehr wichtiges Thema in Bezug auf die […]
Neue Orientierungshilfe zu Cookie-Bannern
Kurz vor Weihnachten hat die Datenschutzkonferenz noch ein besonderes Geschenk dagelassen: Die neue Orientierungshilfe zu Cookie-Bannern. Wir haben zusammengefasst, […]
Das Datenschutz-Postfach – Wer darf Zugriff haben?
An vielen Stellen fordern die DSGVO und das BDSG die Bekanntgabe der Kontaktdaten des Datenschutzbeauftragten. Zu jedem guten Datenschutz-Management […]
Autorin des Artikels: