Vor-Ort-Kontrolle

Kontrolle des Auftragsverarbeiters nur gegen Zahlung eines Entgelts?

Der Bayerische Landesdatenschutzbeauftragte Dr. Thomas Petri hat dieses Thema im Sommer in einer Mitteilung aufgegriffen:

Dort wird die Auffassung vertreten, dass ein Auftragsverarbeiter eine Vor-Ort-Kontrolle grundsätzlich einräumen muss und kein Entgelt dafür verlangt werden darf. Möglich sei aber, dies „einzupreisen“.

Aber: Ist das rechtlich wirklich so eindeutig? Mitnichten. Und vor allem sind viele Auftragsverarbeiter etwas „gebeutelt“. Ob also Vor-Ort-Kontrollen vom Auftragsverarbeiter berechnet werden können und unter welchen Bedingungen dies denkbar ist. Darum geht es in dieser Podcast-Episode.

Update (23.08.2018): Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) scheint das übrigens nicht pauschal so zu sehen, wie der Bayerische Landesdatenschutzbeauftragte. Das lässt sich hier (PDF) auf Seite 8 nachlesen. Zum Thema übrigens auch Kollege Piltz hier.

Erforderlichkeit einer Vor-Ort-Kontrolle bei Auftragsdatenverarbeitung in einem Rechenzentrum

Aus der Reihe Fragen & Antworten hier nun eine Frage, die mir häufiger so oder ähnlich gestellt wird:

Ist es im Rahmen der Vorabkontrolle unbedingt notwendig, ein Rechenzentrum (Zertifiziert nach ISO 27001) zu betreten? Diese Art der Kontrolle wurde uns nicht gewährt. Welche Möglichkeiten gibt es, unsere Auftraggeber dennoch von diesem Rechenzentrum zu überzeugen?

Die Fallkonstellation liegt hier offenbar so, dass der Fragesteller in einem Unternehmen arbeitet, das für Auftraggeber Daten im Auftrag verarbeitet und dabei selbst ein fremdes Rechenzentrum nutzt.

Ich kenne die Frage der Erforderlichkeit einer Vor-Ort-Kontrolle nur zu gut. Ich bin externer Datenschutzbeauftragter einer Reihe von Unternehmen, die für größere Unternehmen als Auftragsdatenverarbeiter tätig sind. Und hier werden auch professionelle Rechenzentren genutzt. Und nicht in jedes kommt man hinein. Sicher kann ich es nachvollziehen, dass Auftraggeber einer Auftragsdatenverarbeitung in manchen Fällen (z.B. bei sehr hohem Schutzbedarf der Daten) eine Vor-Ort-Kontrolle im Rechenzentrum für erforderlich halten. In vielen Fällen ist dies jedoch weder erforderlich noch sinnvoll. Merke: Ein Rechenzentrum wird nicht dadurch sicherer, dass jeden Tag Personen durch das Rechenzentrum marschieren und „Kontrollen“ durchführen. Dies ist in gerade in großen Rechenzentren nicht wirklich immer sinnvoll. Ich spreche da gerne mal von „Rechenzentrum-Tourismus“.