Eingeschränkte Kontrollrechte des Auftraggebers im Auftragsverarbeitungsvertrag

Fragen & Antworten

Es sind offenbar einige Auftragsverarbeitungsverträge im Umlauf, bei denen die Auftragnehmer einer „sehr, sehr auftragnehmerfreundliche“ Klausel bzgl. eingeschränkter Kontrollrechte durch den Auftraggeber vorsehen.

So wird z.B. diese Klausel häufiger verwendet:

Wenn im Einzelfall dennoch eine Inspektion beim Auftragnehmer erforderlich sein sollte, wird diese auf Kosten des Auftraggebers durch einen unabhängigen externen Prüfer / eine unabhängige externe Prüferin durchgeführt, den / die der Auftragnehmer benennt. Der Auftragnehmer darf nur solche Prüfer/Prüferinnen benennen, die gegenüber dem Auftraggeber ihre Unabhängigkeit vom Auftragnehmer versichert und sich zur Verschwiegenheit verpflichtet haben.

Ich denke, wir sind uns einig, dass das sicher einigen Auftraggebern einer Auftragsverarbeitung nicht „schmecken“ dürfte.

Die Frage ist aber. Ist eine solche Klausel überhaupt zulässig?

Das Kontrollrecht des Auftraggebers einer Auftragsverarbeitung ist in Art. 28 Abs. 3 lit. h) DSGVO geregelt. Besser gesagt ist dort geregelt, dass im Auftragsverarbeitungsvertrag Regelungen zu treffen sind, die eine wirksame Kontrolle des Auftragsverarbeiters durch den Auftraggeber ermöglichen.

Wörtlich ist dort auch von „Inspektionen, die vom Verantwortlichen oder einem anderen beauftragten Prüfer durchgeführt werden“ die Rede.

Frage ist nun im Kern also diese:

Kann der Auftragnehmer einer Auftragsverarbeitung bei einer durchzuführenden Kontrolle den Prüfer selbst benennen, wenn er versichert, dass dieser gegenüber dem Auftragnehmer unabhängig ist?

Unternehmen, die eine derartige Klausel verwenden, behaupten gerne, dass dies zulässig sei und im Übrigen diese Ansicht im Übrigen auch so von der rechtswissenschaftlichen Literatur geteilt werde.

Was meint die rechtswissenschaftliche Literatur?

Da wir keine Rechtsprechung zu dieser Thematik haben, dürfen wir zunächst einen Blick in die Literatur werfen.

Richtig ist, dass in Teilen der Literatur durchaus vertreten wird, dass im Hinblick auf Vor-Ort-Kontrollen ausreichend sei, wenn diese Vor-Ort-Kontrollen durch Prüfer durchgeführt werden, die vom Auftragsverarbeiter beauftragt wurden. So findet sich z.B. diese Äußerung in der rechtswissenschaftlichen Literatur:

Wie vielfach in Auftragsverhältnissen bereits üblich und nach dem etwa von den deutschen Datenschutzbehörden sowie der Art.-29-Gruppe im Falle von Cloud Computing anerkannten Mechanismus ist hier keine eigene Kontrolle durch den Verantwortlichen erforderlich, ausreichend ist die Beauftragung von externen Prüfern durch den Auftragsverarbeiter.
Quelle: Hartung, in: Kühling/Buchner, DS-GVO BDSG, 2. Auflage 2018, Art. 28 Rn. 78

Und selbst in Gesetzeskommentaren, die tendenziell eher weite Kontrollrechte für Auftraggeber einer Auftragsverarbeitung vertreten, wird vertreten, dass vertraglich vereinbart werden könne:

(…) können Inspektionen nunmehr durch spezialisierte Dienstleister durchgeführt werden. Ob diese oder der Verantwortliche selbst prüft, kann verbindlich in einem Rechtsinstrument festgelegt, in Verträgen aber auch vereinbart werden.
Quelle: Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Auflage 2019, Art. 28 Rn. 81

Dieses Zitat bezieht sich allerdings auch eine Passage bzgl. der Zertifizierung von Auftragsverarbeitern. Wenn also z.B. ein Auftragsverarbeiter eine Zertifizierung für seine Dienstleistungen nachweisen kann, dann könnte z.B. nach dieser Ansicht vertraglich vereinbart werden, dass weitere Vor-Ort-Kontrollen durch den Auftraggeber nicht zulässig sind.

Es gibt jedoch auch Stimmen in der juristischen Literatur, die eine Beschneidung von Kontrollrechten von Auftraggebern einer Auftragsverarbeitung für unzulässig halten:

Zuletzt muss die besondere Bedeutung von Kontrollen durch die Verantwortlichen für das Auftragsverarbeitungsrechtsverhältnis gesondert hervorgehoben werden. Durch die gesteigerte Dynamisierung der Verantwortlichkeit, wie sie besonders in Art. 24 Abs. 1 S. 2 DSGVO sowie Art. 5 Abs. 2 DSGVO zum Ausdruck kommt, sind die Verantwortlichen gehalten, regelmäßige Überprüfungen vorzunehmen, um die Datenschutzkonformität der von ihnen verantworteten Verarbeitungen zu gewährleisten.
(…)
An erster Stelle steht insoweit die unmittelbare Möglichkeit von Überprüfungen und Inspektionen durch die Verantwortlichen.
Quelle: Ingold, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Auflage 2018, Art. 28 Rn. 70 f.

Das dürfte aber in der Weite eher eine Mindermeinung darstellen, auch wenn ich sie gut nachvollziehen kann.

Und was sagen die Aufsichtsbehörden?

Die Aufsichtsbehörden haben sich auf Basis des „alten“ Rechts – also vor Anwendung der DSGVO – zur Thematik von Kontrollen durch Verantwortliche bei einer Auftragsverarbeitung im Zusammenhang mit dem sog. „Cloud Computing“ geäußert. So gibt es von der Art. 29 Gruppe eine „Stellungnahme 05/2012 zum Cloud Computing“ (PDF). Und von den deutschen Aufsichtsbehörden gab es eine „Orientierungshilfe Cloud Computing“ (PDF).

In beiden Dokumenten wird deutlich vertreten, dass zwar eine Zertifizierung eines Auftragsverarbeiters geeignet sein kann, die Einhaltung der geforderten technischen und organisatorischen Maßnahmen nachzuweisen.

Ein Auftraggeber sollte sich dann die Prüfbescheinigungen zeigen lassen.

Unabhängig davon halten die Aufsichtsbehörden es aber für geboten, dass „eigene Kontrollrechte des Cloud-Anwenders vertraglich nicht ausgeschlossen werden, selbst wenn gewollt ist, dass die Auftragskontrolle in der Praxis in aller Regel durch die Vorlage geeigneter Zertifikate ausgeführt werden soll“..

Sofern die Aufsichtsbehörde – was nicht ganz klar ist –auf Basis der DSGVO diese Auffassung weiter vertreten sollten, würden sie eine Vertragsklausel wie die oben im Beitrag angeführt für unzulässig erachten.

Meine bescheidene Meinung

Ich meine, dass wir uns im Hinblick auf die Kontrollrechte bei einer Auftragsverarbeitung an der gesetzlichen Regelung in Art. 28 DSGVO zu orientieren haben. Nach Art. 28 Abs. 3 lit. h) DSGVO sind in einem Auftragsverarbeitungsvertrag Regelungen zu treffen, die eine wirksame Kontrolle der Verarbeitung von Daten im Auftrag durch den Verantwortlichen ermöglichen.

Dreh- und Angelpunkt ist also hier die „vertragliche Regelung“. Ich meine schon, dass vertragliche Regelungen auch dahingehend getroffen werden können, dass dem Auftraggeber keine eigenen Kontrollrechte zustehen, wenn eine Auditierung durch eine unabhängige „Instanz“ erfolgt ist und dem Auftraggeber prüffähige Unterlagen durch den Auftragnehmer zur Verfügung gestellt werden.

Wir können jetzt lange darüber streiten, ob hier die Vertragsfreiheit besteht oder durch den „Datenschutz“ eingeschränkt werden kann. Diese Diskussion würde hier aber zu weit führen.

Ich meine jedenfalls schon, dass unter Kaufleuten auf Augenhöhe vertragliche Regelungen getroffen werden können, die beide für hinreichend halten, um eine rechtskonforme Verarbeitung zu gewährleisten.

Und ganz ehrlich. Kein Rechenzentrum wird unbedingt sicherer, wenn es einen „Audit-Tourismus“ gibt und jeden Tag Besucherströme durch ein Rechenzentrum „wandern“.

Da macht es für einen Dienstleister schon mehr Sinn, die von ihm getroffenen technischen und organisatorischen Maßnahmen zum Datenschutz von einer unabhängigen Stelle überprüfen lassen zu können und dann weitere Kontrollen auszuschließen.

Und genauso kann ich verstehen, wenn andere Menschen diese Auffassung für kritisch halten.

Nur: Wer als Auftraggeber Daten im Auftrag verarbeiten lassen möchte, dem steht es frei, sich einen alternativen Anbieter zu suchen, der die nach seiner Meinung erforderliche eigene Kontrolle einräumt.

Einen verbindlichen Anspruch gibt die DSGVO hierfür jedoch m.E. nicht her.

Warum die o.g. Klausel dennoch unzulässig ist

Dass die o.g. Klausel meiner Meinung nach dennoch unzulässig ist, hat ausschließlich damit zu tun, dass der Auftragnehmer hier nicht nur den Prüfer selbst bestimmen möchte, sondern darüber hinaus der Auftraggeber diesen auch noch bezahlen soll.

Zum Verständnis möchte ich kurz darauf hinweisen, dass auf solche Auftragsverarbeitungsverträge, die nicht nur für einen Einzelfall erstellt worden sind, das sog. „AGB-Recht“ i.S.d. §§ 305 ff. BGB zur Anwendung kommt. Dieses Recht schützt nicht nur Verbraucher, sondern auch Unternehmen in Vertragsbeziehungen untereinander vor unzulässigen Klauseln, die in AGB zum Einsatz kommen.

Die hier diskutierte Klausel weicht m.E. derart von dem gesetzlichen Leitbild des Art 28 Abs. 3 lit. h) DSGVO ab, dass die wegen § 305c BGB schon nicht wirksam in den Vertrag einbezogen wird. Das Leitbild des Art. 28 Abs. 3 lit. h) DSGVO geht meiner Meinung nach recht deutlich davon aus, dass dem Auftraggeber grundsätzlich die Kontrollrechte zustehen und eine Klausel, die eine Kostentragungspflicht für einen vom Auftragsverarbeiter ausgewählten Prüfer vorsieht, ist insoweit auch in Verträgen zwischen Unternehmen ungewöhnlich und überraschend.

Darüber hinaus ist die Klausel m.E. unzulässig, da sie eine unangemessene Benachteiligung i.S.d. § 307 Abs. 2 BGB darstellt. Dem Auftraggeber steht nach Art. 28 DSGVO grundsätzlich selbst das Recht zu, seine Kontrollmaßnahmen zu wählen. Dabei kann zwar vertraglich vereinbart werden, dass diese Kontrollen nicht selbst durch den Verantwortlichen vorgenommen werden. Diese Regelung stellt jedoch eine Privilegierung des Auftragnehmers dar. Hier ist dem Auftraggeber nicht zuzumuten, dass er die Kosten dieser Privilegierung auch noch unmittelbar zu zahlen hat.

Eine solche Regelung ist mit der Regelung in Art. 28 Abs. 3 lit. h) DSGVO unvereinbar und damit eine unangemessene Benachteiligung i.S.d. § 307 Abs. 2 Nr. 1 BGB.

Darüber hinaus könnte man auch ggf. annehmen, dass hier schon ein Fall des § 307 Abs. 2 Nr. 2 BGB vorliegt, da hier wesentliche Rechte des Verantwortlichen (hier: Kontrollrechte) so eingeschränkt werden, dass die Erreichung des Vertragszwecks gefährdet wird. Der Fall ist aber juristisch nicht so klar, dass ich auf diese Karte setzen würde.

Fazit:
Im Ergebnis halte ich die o.g. Klausel, nach der der Auftragnehmer einer Auftragsverarbeitung den Prüfer bei einer Inspektion selbst auswählen darf, der Auftraggeber aber die Kosten zu tragen hat, für unzulässig.

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.