Frage nach TOMs durch DSB der Auftraggeberfirma erlaubt?

Fragen & Antworten

Ich biete ja seit kurzem die Möglichkeit an, Fragen zum Datenschutzrecht über ein Formular zu stellen. Das ersetzt keine individuelle Beratung, ist aber für mich Gelegenheit, diese Internetseite mit Inhalten zu füllen, die für Leser der Seite interessant sein könnten.

So erreicht mich neulich diese Frage:

Frage:

Darf ein Datenschutzbeauftragter der Firma A (Auftraggeber) von einer Firma B (Dienstleister/Auftragnehmer) die Abgabe eines TOMs-Fragebogens über die Firma B verlangen? Der Auftragnehmer hat einzig einen Remotezugang auf das zu betreuende System beim Auftraggeber.

Meine Antwort:

Ja, der Datenschutzbeauftragte der Firma A darf eine Angabe der technischen und organisatorischen Maßnahmen i.S.d. § 9 BDSG und der Anlage zu § 9 Satz 1 BDSG („TOMs“) verlangen.

qa_tom_wartung

Ob nun genau Anspruch auf die Beantwortung eines spezifischen Fragebogens der Firma A besteht oder sich der Anspruch nur allgemein auf eine Auflistung der von Firma B getroffenen TOMs beinhaltet, ist rechtlich nicht ganz eindeutig. Entscheidend für die Beantwortung der Frage war hier aber, dass ein Remotezugang auf das zu betreuende System beim Auftraggeber besteht. Ein Remotezugang zu einem System wird in aller Regel – und davon bin auch hier ausgegangen – beinhalten, dass eine Kenntnisnahme von personenbezogenen Daten nicht ausgeschlossen ist. In rechtlicher Hinsicht haben wir es dann nach § 11 Abs. 5 BDSG mit einer Wartung und Pflege von IT-Systemen zu tun, die in rechtlicher Hinsicht einer Auftragsdatenverarbeitung gleichgestellt ist.

Exkurs DSGVO: Ob das mit Geltung der Datenschutz-Grundverordnung (DSGVO) auch noch so zu bewerten sein wird, ist derzeit offen. Denn der Wortlaut von Art. 28 DSGVO befasst sich nicht direkt mit dem Fall der Wartung und Pflege von IT-Systemen. Die Art. 29 Gruppe ist bislang tendenziell aber (ggf. unbewusst) in Anlehnung an die Vertragstheorie davon ausgegangen, dass es zunächst erst einmal darauf ankommt, dass die Verarbeitung im Auftrag erfolgt. Voraussetzung ist also, dass es einen Auftrag des „Auftraggebers“ gibt. Genau genommen könnten wir aber – abhängig von der konkreten Wartungs-/Pflegeleistung auch daran zweifeln, ob nach der Definition der „Verarbeitung“ in Art. 4 Nr. 2 DSGVO überhaupt eine Verarbeitung durch die Durchführung der Wartung vorliegt. Die reine Möglichkeit der Kenntnisnahme ist nämlich weder in Art. 4 Nr. 2 DSGVO noch in Art. 28 DSGVO konkret angesprochen. Auch die Erwägungsgründe der DSGVO sind in diesem Zusammenhang nicht aussagekräftig.

Wenn wir es aber eben mit einer Auftragsdatenverarbeitung zu tun haben, dann hat der Auftraggeber (hier: Firma A) nach § 11 Abs. 2 Satz 1 BDSG das Recht schon im Vorwege eine Prüfung des Auftragnehmers im Hinblick auf die von ihm getroffenen technischen und organisatorischen Maßnahmen vorzunehmen. Art und Umfang der Prüfung kann er in seinem eigenen Ermessen bestimmen. Daher spricht vieles dafür, dass auch die Abgabe von Antworten auf eigenen Fragebögen des Auftraggebers zulässig ist. Aber: Beinhaltet dies eine Pflicht des Auftragnehmers genau das zu tun? Nein. Das wohl nicht. Allerdings kann die Nichtbeantwortung des Formulars des Auftraggebers (hier: Firma A) durch den Auftragnehmer (hier: Firma B) dazu führen, dass die Auswahlentscheidung nicht zugunsten des Auftragnehmers ausfällt. So ist das eben manchmal im Leben….Shit happens.

Häufig ist es in der Praxis aber auch so, dass bereits ein Vertrag zwischen Firma A und B geschlossen wurde und irgendeinem (z.B. dem DSB) erst später auffällt, dass hier wohl noch eine Auftragsdatenverarbeitung zu regeln ist. Es gibt dann also meist noch keinen Auftragsdatenverarbeitungsvertrag, in dem z.B. dann auch konkret geregelt wäre, wie die Kontrolle der TOMs durch den Auftraggeber erfolgen kann. Besteht in diesen Fällen auch Anspruch auf Beantwortung des Fragebogens? Hier muss leider die klassische Juristenantwort erfolgen:

„Es kommt darauf an.“

Ja…und worauf kommt es denn an? Auf den Einzelfall 😉

Aber im Ernst. In vielen Fällen sind diese rechtlichen Probleme durch Kommunikation zu lösen. Und zwar gute Kommunikation. Denn häufig sind die Parteien gar nicht so weit auseinander. Das was Firma B vielleicht bereits an Dokumentation an TOMs hat, beinhaltet vielleicht schon 80% der Antworten aus dem Formular von Firma A. Sofern es keine zwingenden Corporate Policies bei Firma A gibt, die eine 1:1-Beantwortung des Fragebogens vorsehen, bietet es sich an, dass sich die Parteien einmal in einem Treffen, einer Telefonkonferenz oder einem Webmeeting zusammenschließen, um die offenen Punkte zu aller Zufriedenheit zu klären.

Wenn sich Firma B aber nun partout weigert, den Fragebogen von Firma A auszufüllen und nur seine eigene TOMs-Dokumentation senden möchte? Nun ja…ich persönlich würde in diesem Fall schon eine vertragliche Nebenpflicht von Firma B sehen, den Fragebogen von Firma A zu beantworten, soweit dies im Hinblick auf den Zweck des Vertrages zumutbar ist. Wird der Fragebogen nicht beantwortet, so würde Firma A nach entsprechender Fristsetzung mit Ablehnungsandrohung („Wenn Du den Fragebogen bis DATUM XYZ lieferst, dann werden wir den Vertrag fristlos kündigen“) ein Grund für eine außerordentliche Kündigung („fristlos“) zustehen. Wenn so ein Szenario eskaliert, sollten Sie sich aber auf jeden Fall der individuellen Hilfe eines Anwalts bedienen.

Und da ich ggf. gefragt werde: Nein, ich übernehme solche Mandate nicht, empfehle aber gerne kompetente Kollegen.

Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.