Auftraggeber verweigert den Abschluss eines Auftragsverarbeitungsvertrages – Empfehlungen für den Auftragnehmer

Datenschutz

Es kommt auch heute nach mittlerweile einigen Jahren der Anwendung der DSGVO vor, dass ein Unternehmen (oder eine öffentliche Stelle) sich eines Dienstleisters bedient, damit dieser personenbezogene Daten für den Auftraggeber verarbeitet.

Nun können wir natürlich oft darüber streiten, ob denn nun überhaupt eine Auftragsverarbeitung vorliegt oder nicht. Es gibt aber Fälle, in denen es nach rein objektiven Maßstäben sehr klar ist, dass eine Auftragsverarbeitung vorliegt.

Das „Ob“ einer Auftragsverarbeitung ist übrigens in Art. 4 Nr. 7 (und Nr. 8) DSGVO geregelt. Und wenn die Frage, „ob“ eine Auftragsverarbeitung liegt oder nicht geklärt ist, ist die Rechtsfolge, dass dann die Vorgaben des Art. 28 DSGVO umzusetzen sind. Und dazu gehört insbesondere der Abschluss eines Auftragsverarbeitungsvertrages.

Eigentlich „pushen“ praktisch die Auftraggeber bzgl. des Abschlusses eines Auftragsverarbeitungsvertrages

Es war schon in Zeiten vor der DSGVO gängige Praxis, dass Auftraggeber bei der Inanspruchnahme eines Dienstleisters sofort einen Auftragsverarbeitungsvertrag sehen und abschließen wollten. Am liebsten wurde zudem das eigene Muster verlangt.

Auch heute haben die meisten Auftraggeber vor der Inanspruchnahme eines Dienstes im „Auge“, dass hier ein Auftragsverarbeitungsvertrag geprüft und abgeschlossen wird.

Zeiten ändern sich…dank SaaS machen die Auftragnehmer häufig die Vorgaben

Die Lage hat sich ein wenig gewandelt. Denn in Zeiten, in denen Software-as-a-Service zum Standard und vor allem zum „Massengeschäft“ für die Anbieter geworden ist, werden Auftragsverarbeitungsverträge nun häufig vom Dienstleister – also dem Auftragnehmer – gestellt. Und sehr häufig sind die Verträge verständlicherweise nicht verhandelbar. Denn es ist den Dienstleister bei Tausenden von Kunden schlichtweg nicht möglich (oder zumutbar), individuelle Verträge zu schließen. Das wird man in der Regel als Auftraggeber nur können, wenn man „Großkunde“ oder „Prestige-Kunde“ ist.

Mittelständische und kleine Unternehmen werden heute häufig einfach den Auftragsverarbeitungsvertrag akzeptieren, der ihnen vom Auftragnehmer angeboten wird. Sofern dieser einen ordentlichen Eindruck macht und die Vorgaben von Art. 28 DSGVO gewahrt sind (oder zumindest so erscheinen).

Was aber, wenn der Auftraggeber den Auftragsverarbeitungsvertrag nicht abschließen möchte

Gerade bei SaaS-Diensten, die über das Internet erbracht werden, und für die man sich online als Kunde registrieren und den Dienst gleich nutzen kann, wird häufig ein Auftragsverarbeitungsvertrag noch vom Kunden im Account-Bereich angefordert oder per „Klick“ abgeschlossen werden können.

Die Betonung liegt hier leider zum eigenen Leidwesen der Auftragsverarbeiter auf dem „können“ und nicht auf einem „müssen“.

Praktisch führt das dazu, dass der Kunde den Dienst zwar nutzt, ein Auftragsverarbeitungsvertrag aber nicht geschlossen wurde.

Fehlender Auftragsverarbeitungsvertrag für den Dienstleister früher kein erhebliches Risiko

Wenn in „Vor-DSGVO-Zeiten“ bei einer Auftragsverarbeitung kein Auftragsverarbeitungsvertrag geschlossen wurde, war dies primär ein Problem des Auftraggebers. Denn dieser war für die Datenverarbeitung verantwortlich und riskierte ein Bußgeld oder ggf. Schadensersatzansprüche von Betroffenen. Letzteres kam praktisch übrigens so gut wie nie vor.

Gegenüber dem Auftragsverarbeiter konnte man allerdings kein Bußgeld verhängen und zivilrechtliche Ansprüche wären auch nur schwer herleitbar gewesen.

Und so war es keine „schlimme Sache“, wenn damals – vor der DSGVO – ein Dienstleister ohne einen Auftragsverarbeitungsvertrag für einen Auftraggeber tätig war, obwohl eine Auftragsverarbeitung objektiv vorliegt.

Die DSGVO hat die Risikolage für Auftragsverarbeiter erheblich verändert

Da Betroffene heute auch gegenüber Auftragsverarbeitern Ansprüche geltend machen können und zum Teil vertreten wird, dass bei Fehlen eines Auftragsverarbeitungsvertrages eine Rechtsgrundlage für die Verarbeitung der Daten für den Auftragsverarbeiter fehlt und auch insoweit ein DSGVO-Verstoß bestehen könne (Anmerkung: nicht unbedingt meine Ansicht, übrigens), würde ich jedem Auftragsverarbeiter heute dringend empfehlen, Dienstleistungen als Auftragsverarbeiter nur dann zu erbringen, wenn ein Auftragsverarbeitungsvertrag zwischen Auftraggeber und Auftragnehmer geschlossen wurde.

Praktischer Tipp: Auftragsverarbeitungsvertrag in Standardverträge oder AGB einbinden

Damit das Risiko eines fehlenden Auftragsverarbeitungsvertrages für einen Auftragsverarbeiter gar nicht erst entstehen kann, würde ich jedem Auftragsverarbeiter raten, sich einmal zu überlegen, ob man nicht die Regelungen für einen Auftragsverarbeitungsvertrag einfach in die auch ansonsten schon bestehenden Standardverträge „einzubauen“. Dagegen spricht rechtlich nichts.

Auch eine Einbindung von Vereinbarungen zur Auftragsverarbeitung in bestehende AGB ist heute durchaus üblich und m.E. auch rechtlich zulässig.

Diese Vorgehensweise kann in der Praxis gut verhindern, dass ein Auftragsverarbeiter ohne einen Auftragsverarbeitungsvertrag tätig wird.

Was mache ich, wenn der Auftraggeber sich weigert, einen Auftragsverarbeitungsvertrag abzuschließen?

Leider wird diese Frage häufiger in den Office Hours der Datenschutz-Coaching-Mitglieder gestellt. Es ist also offenbar nicht nur im Kanzleibetrieb eine immer mal wieder aufkommende Frage, sondern tatsächlich ein praktisches Problem.

Meine Antwort darauf, wie man sich hier verhalten soll, ist primär eine, die sich auf eine gute Kommunikation bezieht. Bei genauerer Betrachtung finden wir manchmal heraus, aus welche Motivation heraus der Auftraggeber den Auftragsverarbeitungsvertrag nicht abschließen möchten. Das kann z.B. die Angst vor höheren Kosten sein.

Wenn wir die Motivationslage kennen, können wir hier schon besser agieren. Manchmal helfen auch Gespräche mit einer oder einem vorhandenen DSB des Auftraggebers. Häufig mangelt es da aber schon an einer Benennung bzw. einer Pflicht zur Benennung.

Nun gibt es diverse Möglichkeiten, mit diesem Problem umzugehen. Einige möchte ich hier aufführen.

Möglichkeit 1 – Gespräche auf Leitungsebene

Manchmal hilft auch eine Eskalation dahingehend, dass die Leitungsebenen beider Vertragspartner mal miteinander sprechen und so deutlich gemacht werden kann, dass der Abschluss eines Auftragsverarbeitungsvertrages schon aus Gründen der Minimierung von Bußgeldrisiken in großem Interesse des Auftraggebers sein sollte.

Möglichkeit 2 – Fristsetzung mit Kündigungsandrohung

Ich kann auch als Auftragnehmer von meinem Vertragspartner verlangen, dass er sich rechtskonform verhält. Und wenn – wie in diesem Fall – der Abschluss eines Auftragsverarbeitungsvertrages eine gesetzliche verpflichtende Folge beim Vorliegen einer Auftragsverarbeitung ist, dann kann es eine vertragliche Pflichtverletzung des Auftraggebers darstellen, wenn dieser sich weigert, den erforderlichen Auftragsverarbeitungsvertrag abzuschließen.

Bei Pflichtverletzungen des Vertragspartners bietet sich an, diesen auf die Pflichtverletzung hinzuweisen und unter Nennung einer angemessenen Frist aufzufordern, diese Pflicht nachzuholen. Eine angemessene Frist wären hier z.B. 14 Tage.

Ein Beispiel für eine solche Formulierung findest du hier:

Hinweis: Coaching-Mitglieder sehen hier einen Mustertext für eine Formulierung zur Fristsetzung. Vielleicht möchtest du aber auch die Vorteile des Datenschutz-Coachings nutzen? Dann kannst du hier mehr erfahren, buchen und dann sofort auf die Inhalte zugreifen.

Möglichkeit 3 – Haftungsfreistellung vereinbaren

Die außerordentliche Kündigung eines Vertragsverhältnisses ist auch bei einer Auftragsverarbeitung nicht risikofrei. So könnte schon allein darüber gestritten werden, ob dies überhaupt einen ausreichenden Grund für eine außerordentliche Kündigung darstellt. Einschlägige Rechtsprechung ist mir zumindest dazu aktuell nicht bekannt.

Wenn also eine Kündigung des Vertragsverhältnisses nicht in Betracht kommt bzw. nicht gewünscht ist, könnte man darüber nachdenken, dass eine Haftungsfreistellung vom Auftraggeber zugunsten des Auftragnehmers erfolgt.

Dies ist letztlich eine Vereinbarung, mit der sich der Auftraggeber verpflichtet, für den Schaden aufzukommen, der dem Auftragnehmer dadurch entsteht, dass ein Auftragsverarbeitungsvertrag nicht geschlossen worden ist. Das kann z.B. eine Schadensersatzforderung sein oder theoretisch auch ein Bußgeld, das von einer Aufsichtsbehörde verhängt wurde.

Problematisch an diesen Haftungsfreistellungen ist, dass der Auftragsverarbeiter hier darauf vertrauen muss, dass der Auftraggeber in einem Haftungsfall auch zahlungsfähig (und -willig) ist. Denn Betroffene, die z.B. einen Schadensersatzanspruch geltend machen oder auch eine Aufsichtsbehörde ist durch diese Haftungsfreistellung nicht gebunden. Diese gilt grundsätzlich nur im sog. „Innenverhältnis“ – also im Verhältnis zwischen Auftragnehmer und Auftraggeber. Dem Auftragnehmer kommt hier also ein Ausgleichsanspruch gegenüber dem Auftraggeber zu.

Ich würde generell empfehlen, mit Haftungsfreistellungen in diesem Bereich sehr vorsichtig zu sein oder gerade bei größeren Beträgen bzw. Haftungsrisiken eine anwaltliche Beratung in Anspruch zu nehmen.

Ein Muster für eine Haftungsfreistellung kann z.B. wie folgt aussehen:

Hinweis: Coaching-Mitglieder sehen hier einen Mustertext für eine Haftungsfreistellung. Vielleicht möchtest du aber auch die Vorteile des Datenschutz-Coachings nutzen? Dann kannst du hier mehr erfahren, buchen und dann sofort auf die Inhalte zugreifen.
Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.