Im Beratungsalltag ist immer öfter festzustellen, dass Auftragnehmer in einem Auftragsverarbeitungsverhältnis versuchen dem Auftraggeber Kosten aufzuerlegen. Nun stellt sich die Frage, wie damit umzugehen ist und ob diese Kosten gerechtfertigt sind.
Auftragsverarbeitungsvertrag nur durch Upgrade
In einem aktuellen Artikel der iapp wird ein Fall geschildert, der in der täglichen Praxis keine Seltenheit ist. Manche Anbieter sind dazu übergegangen Auftragsverarbeitungsverträge nur gegen ein mit finanziellen Kosten verbundenes Upgrade zur Verfügung zu stellen. Insbesondere weltweit tätige große Serviceprovider nutzen dabei ihre Marktmacht aus.
„Sie hatten uns wirklich dort, wo sie uns wollten. Wir sahen uns damit konfrontiert, entweder mit ihnen fortzufahren, indem wir unsere entsprechenden Unterlagen zu Artikel 28 nicht zur Verfügung hatten, oder mehr zu bezahlen, um Compliance zu erreichen. Aber wir haben entschieden, dass uns die Einhaltung der Gesetze wichtiger ist als ein paar tausend Dollar. Aber es hat uns beeindruckt, dass die Kosten für die Erstellung eines Vertrags nach Artikel 28 an uns weitergegeben wurden.“
So oder so ähnlich werden es zahlreiche Unternehmen notgedrungen handhaben. Denn im Endeffekt lautet die Entscheidung
- Compliance,
- die Zahlung eines Aufpreises
- oder das umständliche Wechseln des Anbieters.
Hier stellt sich insbesondere die Frage, ob der Auftragnehmer durch die Verweigerung des Vertragsschlusses nicht auch in die Haftung genommen werden kann.
Kosten für Inspektionen
Eine ebenso weitverbreitete Fragestellung, mit der man bei der Prüfung von Auftragsverarbeitungsverträgen konfrontiert wird, betrifft die Kostentragung für Inspektionen vor Ort beim Auftragnehmer. Viele Verträge enthalten Klauseln, die dem Auftraggeber die Kosten für solche Kontrollen komplett auferlegen.
Nach Art. 28 Abs. 3 lit. h) DSGVO muss ein Auftragsverarbeitungsvertrag unter anderem vorsehen, dass der Auftragsverarbeiter,
„dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt“.
Das Gesetz sieht daher eine ausdrückliche Unterstützungspflicht durch den Auftragnehmer vor.
Der bayrische Landesbeauftragte für den Datenschutz hat genau zu diesem Thema ein Kurzpapier veröffentlicht. Nach Ansicht des Landesbeauftragten darf die Wahrnehmung der Kontrollrechte des Auftraggebers aus datenschutzrechtlicher Sicht nicht von einem besonderen Entgelt abhängig gemacht werden. Dies kann einer Ausübung der gesetzlich vorgesehenen Kontrollrechte entgegenwirken.
Die Behörde empfiehlt daher bayrischen öffentlichen Stellen:
Bayerische öffentliche Stellen sollten bei der Prüfung von neuen Auftragsverarbeitungs-Bedingungen sowie bei Verhandlungen über Anpassungen in bestehenden Vertragsbeziehungen stets darauf achten, dass sie sich für die Ausübung ihrer gesetzlichen Kontrollrechte nicht zu einem besonderen Entgelt verpflichten lassen.
Eine „Einpreisung“, also die entstehenden Kosten von vornherein pauschal in das Angebot der vertraglichen Leistung einzurechnen, hält die Behörde allerdings für vertretbar.
Kosten für sonstige Unterstützungsleistungen
Auch sonstige Unterstützungsleistungen, z.B. im Rahmen von Auskunfts- oder Löschgesuchen Betroffener, machen Auftragnehmer gerne von einer Kostentragungspflicht abhängig. Hier greift soweit möglich auch eine gesetzliche Unterstützungspflicht nach Art. 28 Abs. 3 lit. e) und lit. f) DSGVO. Im Einzelfall kann eine gesetzliche Unterstützungspflicht allerdings faktisch unmöglich sein. Hier empfiehlt sich allerdings sich trotzdem nicht auf eine Kostenklausel einzugehen, sondern den Vertrag auf die konkrete Situation anzupassen.
Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN
© www.intersoft-consulting.de