|

Aufsichtsbehörden veröffentlichen Checkliste zur Prüfung von Auftragsverarbeitungsverträgen (von Webhostern)

Die Datenschutz-Aufsichtsbehörden von Bayern, Berlin, Niedersachsen, Rheinland-Pfalz, Sachsen, Sachsen-Anhalt haben im Zusammenhang mit der geplanten Überprüfung von Auftragsverarbeitungsverträgen von „Webhosting“-Unternehmen eine Checkliste zur Prüfung von Auftragsverarbeitungsverträgen erarbeitet. Näheres zum Hintergrund kann man in einem Beitrag des geschätzten Matthias Bergt erfahren, der als Referatsleiter bei der Berliner Datenschutz-Aufsichtsbehörde tätig ist: Aufsichtsbehörden veröffentlichen Checkliste zur Prüfung von Auftragsverarbeitungsverträgen

Die Checkliste findest du hier: Checkliste zur Prüfung von Auftragsverarbeitungsverträgen (PDF)

Ich habe mir diese Checkliste angesehen. Und ich kann sagen, dass sie tatsächlich nicht nur für Webhosting-Unternehmen hilfreich ist.

Insbesondere im Hinblick auf in der Praxis immer noch häufige Streitpunkte finden sich hier interessante Ausführungen:

So lässt sich der Checkliste entnehmen, dass ein Auftragsverarbeitungsvertrag sehr wohl in Allgemeinen Geschäftsbedingungen (AGB) integriert sein kann.

Außerdem vertreten die beteiligten Aufsichtsbehörden zurecht die Auffassung, dass in Auftragsverarbeitungsverträgen keine technischen und organisatorischen Maßnahmen konkret geregelt sein müssen, sondern auch ein reiner Hinweis auf die Einhaltung der nach Art. 32 DSGVO erforderlichen Maßnahmen ausreichen kann.

Was viele missverstehen: Das entbindet mich als Auftraggeber nicht von meiner Verpflichtung, dass ich mich ggf. durch vorherige Prüfungen davon überzeugt habe, dass die erforderlichen technischen und organisatorischen Maßnahmen zur Datensicherheit vom Auftragnehmer umgesetzt werden.

Spannend ist außerdem die auch unter Aufsichtsbehörden umstrittene Frage zur Zulässigkeit von Regelungen, die es dem Auftragnehmer ermöglichen, die Kosten einer Kontrolle durch den Auftraggeber in Rechnung zu stellen.

In der Checkliste wird die Auffassung vertreten, dass eine Kostentragungsklausel zulässig sein kann, wenn diese nicht die Fälle umfasst, bei denen eine Kontrolle wegen Gesetzes- oder Vertragsverstoß durch den Auftragnehmer erforderlich wurde. Das ist exakt die Auffassung, die ich persönlich auch vertrete.

Insgesamt ist die Checkliste für alle, die sich im Bereich Datenschutz mit der Auftragsverarbeitung und Auftragsverarbeitungsverträgen beschäftigen, eine wirkliche Hilfe. Es ist immer gut zu wissen, welche Ansichten bei Aufsichtsbehörden vertreten werden. Das kann dazu beitragen, Ärger im Vorwege zu vermeiden.

Zu der Checkliste gibt es auch noch Hinweise zur Nutzung der Checkliste (PDF). Und eine Pressemitteilung der Berliner Aufsichtsbehörde dazu gibt es hier (PDF).