“Dane­ben kön­nen die Hin­wei­se des Bit­kom auch ein guter Anlass sein, dass sich Daten­schutz­be­auf­trag­te, Jus­ti­zia­re und anwalt­li­che Bera­ter mal wie­der mit den recht­li­chen Aspek­ten der Vor­la­gen des eige­nen Daten­schutz­ma­nage­ments beschäf­ti­gen.” – Mat­thi­as Herkert

Mit sei­nem »Posi­ti­ons­pa­pier zum Bun­des­mus­ter zur Auf­trags­ver­ar­bei­tung« (hier geht es zur Ver­öf­fent­li­chung auf der Sei­te des Bit­kom) zielt Bit­kom neben einem »mög­lichst ein­heit­li­chen Ver­ständ­nis der Datenschutz-Grundverordnung« vor allem auf pra­xis­ge­rech­te Aus­le­gung der euro­päi­schen Daten­schutz­re­geln mit Blick auf die in der Pra­xis häu­fig ein­ge­setz­te Mus­ter­emp­feh­lung des BfDI (hier geht es zum Bun­des­mus­ter zur Auf­trags­ver­ar­bei­tung auf der Home­page des Bundesministeriums).

Unterstützungsleistungen und Vergütung

Einen für die Pra­xis sinn­vol­len Hin­weis zu Ver­gü­tun­gen für daten­schutz­recht­li­che Unter­stüt­zungs­leis­tun­gen fin­det sich im Posi­ti­ons­pa­pier des Bit­kom bereits im vor­la­ger­ten Teil im Sin­ne einer »grund­sätz­li­chen Anmer­kung«. Wäh­rend Fra­gen zur grund­sätz­li­chen Zuläs­sig­keit von Ver­gü­tun­gen kaum mehr zu Unsi­cher­hei­ten füh­ren soll­ten (wir haben hier­zu bereits Ende 2018 u.a. zu »Ent­gelt­pflich­ten bei Vor-Ort-Kontrollen beim Auf­trags­ver­ar­bei­ter« berich­tet), greift Bit­kom die noch immer häu­fig ange­wand­te Pra­xis der Ver­ein­ba­rung von Pau­schal­prei­sen oder Auf­wands­ver­gü­tun­gen mit Ober­gren­ze auf und ver­weist auf den »der­zeit nicht vor­her­seh­ba­ren Umfang« mög­li­cher zukünf­ti­ger Unter­stüt­zungs­leis­tun­gen und rät zu einer Ver­gü­tung nach Auf­wand ohne Obergrenze.

Die an die­ser Stel­le, aber auch im Wei­te­ren zu ande­ren The­men, ange­füg­te Anre­gung, ent­spre­chen­de Ver­ein­ba­run­gen geson­dert und über­sicht­lich in einem sepa­ra­ten Para­gra­phen vor­zu­neh­men, zielt neben dem BfDI als Adres­sa­ten des Posi­ti­ons­pa­piers sicher­lich auch mah­nend an alle betrieb­li­chen Daten­schutz­be­auf­trag­ten, bei der Erstel­lung und Gestal­tung die juris­ti­schen Grund­la­gen an einen sys­te­ma­ti­schen Auf­bau von Ver­trä­gen nicht außer Acht zu lassen.

Kurzes Wort mit großer Wirkung

In einer über­sicht­li­chen Dar­stel­lung greift Bit­kom im 4. Teil des Posi­ti­ons­pa­pie­res unter ande­rem zahl­rei­che Ein­zel­be­grif­fe auf, die in der Pra­xis sicher­lich schon fast jeden Daten­schutz­be­auf­trag­ten zum Nach­den­ken brach­ten. Eine Klar­stel­lung, dass Unter­stüt­zungs­leis­tun­gen des Auf­trags­ver­ar­bei­ters »ange­sichts der Art der Ver­ar­bei­tung« und nicht grund­sätz­lich und damit weit­rei­chend »ange­mes­sen« sein soll­ten erscheint hier­bei genau­so sinn­voll wie die Erwäh­nung, dass Begrif­fe wie »stellt sicher«, die auf eine Garan­tie im Rechts­sin­ne mit der Fol­ge einer unbe­schränk­ten und ver­schul­dens­un­ab­hän­gi­gen Haf­tung hin­deu­ten könn­ten, ver­mie­den und daher ersetzt wer­den sollten.

Dass in der betrieb­li­chen Pra­xis indes ins­be­son­de­re Daten­schutz­be­auf­trag­te mit ent­spre­chen­dem juris­ti­schen Hin­ter­grund hier die eige­nen Mus­ter wohl bereits ent­spre­chend weit­sich­tig gestal­tet haben wer­den, nimmt den Hin­wei­sen hier­bei kei­nes­falls ihre prak­ti­sche Bedeutung.

Stärkere Berücksichtigung digitaler Verarbeitungen

Dass die im Bun­des­mus­ter zur Auf­trags­ver­ar­bei­tung bei­na­he archa­isch anmu­ten­den For­mu­lie­run­gen zur Aus­hän­di­gung bezie­hungs­wie­se nach­weis­lich pro­to­kol­lier­ten, daten­schutz­ge­rech­ten Ver­nich­tung von Unter­la­gen, Ergeb­nis­sen und Daten­be­stän­den durch Bit­kom als Ver­tre­ter der digi­ta­len Wirt­schaft auf­ge­grif­fen wird, über­rascht kaum. Die vor­ge­schla­ge­nen Anpas­sun­gen zie­len daher auf eine bes­se­re Berück­sich­ti­gung digi­ta­ler Ver­ar­bei­tungs­si­tua­tio­nen und die Her­aus­for­de­run­gen der Daten­lö­schung ins­be­son­de­re in kom­ple­xen Struk­tu­ren ab.

Anpassungen bei den Regelungen zu Subunternehmern

Auf­bau­end auf das bereits zu Beginn des Posi­ti­ons­pa­pie­res vor­ge­schla­ge­ne und durch Art. 28 Abs. 4 DSGVO gedeck­te Ver­ständ­nis, das Sub­un­ter­neh­mer­schaf­ten nur dann vor­lie­gen, wenn die wei­te­ren Auf­trag­neh­mer die geschul­de­te Haupt­leis­tung teil­wei­se oder voll­stän­dig über­neh­men, fol­gen im vier­ten Teil zahl­rei­che Emp­feh­lun­gen, um die in der Pra­xis an die­ser Stel­le häu­fi­gen Aus­le­gungs­pro­ble­me abzumildern.

Neben einem Vor­schlag zur Aus­dif­fe­ren­zie­rung von Neben­leis­tun­gen wie Post- , Transport- und Versand- und Rei­ni­gungs­leis­tun­gen emp­fiehlt Bit­kom ins­be­son­de­re eine sinn­vol­le Klar­stel­lung zu den Rechts­fol­gen einer Ableh­nung von Sub­un­ter­neh­mern durch die ver­ant­wort­li­che Stel­le wie auch zur Aus­ge­stal­tung der Kündigungsrechte.

Fazit

Mit sei­nen Anmer­kun­gen und Ergän­zun­gen zum Bun­des­mus­ter zur Auf­trags­ver­ar­bei­tung des BfDI möch­te der Bit­kom nach eige­ner Aus­sa­ge einen »kon­struk­ti­ven Dia­log und Aus­tausch über das Mus­ter begünstigen«.

Dane­ben kön­nen die Hin­wei­se des Bit­kom auch als Anre­gun­gen zur Über­ar­bei­tung und Anpas­sung der viel­fäl­ti­gen Ver­trags­mus­ter zur Auf­trags­ver­ar­bei­tung ver­stan­den wer­den, die in den Unter­neh­men zum Ein­satz kom­men, und ein guter Anlass sein, dass sich Daten­schutz­be­auf­trag­te, Jus­ti­zia­re und anwalt­li­che Bera­ter mal wie­der mit den recht­li­chen Aspek­ten der Vor­la­gen des eige­nen Daten­schutz­ma­nage­ments beschäftigen.