Zur Frage der Entgeltpflicht für Kontrollen bei der Auftragsverarbeitung, die der datenschutzrechtlich nach Art. 4 Nr. 7 Datenschutz-Grundverordnung (DSGVO) Verantwortliche veranlasst hat, hat der Bayerische Landesbeauftragte für den Datenschutz (BayLfD) bereits in Nr. 2.4 seines 28. Tätigkeitsberichts 2018 vom 20.05.2019 eingehend Stellung genommen (vgl. FStBay Rn. 257/2019).
Neuere Entwicklungen auf europäischer Ebene haben den BayLfD nun dazu veranlasst, seine Auffassung im aktuellen Berichtszeitraum 2021 noch einmal zu präzisieren. In seinem unten vermerkten 31. Tätigkeitsbericht vom 25.05.2022 führt der BayLfD unter Nr. 2.3 zu dieser für die Praxis aller – staatlichen wie kommunalen – bayerischen öffentlichen Stellen bedeutsamen Problematik im Einzelnen Folgendes aus:
„Nach Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO hat eine Auftragsverarbeitungs-Vereinbarung vorzusehen, dass der Auftragsverarbeiter dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art. 28 DSGVO niedergelegten Pflichten zur Verfügung stellt und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, ermöglicht und dazu beiträgt. Seit der Datenschutzreform 2018 wird diskutiert, ob und inwieweit Auftragsverarbeitungs- Vereinbarungen für den Fall der Wahrnehmung von Kontrollrechten des Verantwortlichen – insbesondere im Fall einer Vor-Ort-Kontrolle – ein gesondertes Entgelt vorsehen können.
Der Bayerische Landesbeauftragte für den Datenschutz hat den bayerischen öffentlichen Stellen empfohlen, sich für die Ausübung ihrer gesetzlichen Kontrollrechte nicht zu einem besonderen Entgelt verpflichten zu lassen (vgl. Aktuelle Kurz-Information 6 in der Fassung vom 1. August 2018). Der Europäische Datenschutzausschuss hat im Juli 2021 nach öffentlicher Konsultation überarbeitete Leitlinien 7/2020 zu den Begriffen des Verantwortlichen und des Auftragsverarbeiters in der Datenschutz-Grundverordnung veröffentlicht, in welchen zu der Frage einer Entgeltpflicht für Kontrollen bei der Auftragsverarbeitung die folgenden Erwägungen neu aufgenommen wurden …
Der Europäische Datenschutzausschuss weist zutreffend darauf hin, dass die wirtschaftliche Gestaltung der Austauschbeziehung zwischen dem Verantwortlichen und dem Auftragsverarbeiter durch den Markt und nicht durch die Datenschutz-Grundverordnung reguliert wird. Dies bedeutet allerdings auch, dass es dem Verantwortlichen unbenommen ist, ihm unterbreitete Angebote von Auftragsverarbeitern auf ihre Datenschutzfreundlichkeit zu prüfen und diesen Gesichtspunkt bei der Auswahl des Vertragspartners zu berücksichtigen.
Der Verantwortliche wird zudem entsprechende Vorgaben in einen Ausschreibungstext aufnehmen können, wenn die benötigte Leistung in einem Vergabeverfahren beschafft wird. Der Europäische Datenschutzausschuss gibt ferner zu bedenken, dass Kosten oder Gebühren Maßnahmen des Verantwortlichen nach Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO behindern können.
Der Bayerische Landesbeauftragte für den Datenschutz hat dieses Risiko bereits kurz nach der Datenschutzreform 2018 wie folgt beschrieben (Aktuelle Kurz-Information 6 in der Fassung vom 1.8.2018):
,Ein gesondertes Entgelt würde einer Ausübung der Kontrollrechte entgegenwirken. Die Vereinbarung eines Entgelts, einer Aufwandsentschädigung oder eines sonstigen Kostenbeitrags, auch die Vereinbarung, hierzu im Bedarfsfall nachträglich eine die Auftragsverarbeitungs-Vereinbarung ergänzende Regelung zu treffen, führt dazu, dass eine Inspektion beim Auftragsverarbeiter als etwas ,Außergewöhnliches‘ wahrgenommen wird, das dem Auftraggeber ,eigentlich‘ nicht zusteht und gerade deshalb außerhalb der wechselseitigen Austauschbeziehung zu vergüten ist. Davon abgesehen kann ein solches Entgelt entweder auf Grund seiner bereits erkennbaren (absoluten) Höhe oder der vertraglich angelegten Unklarheit seiner Berechnung abschreckende Wirkung entfalten.‘
Soweit ein Auftragsverarbeiter die Besorgnis hat, dass er durch Maßnahmen des Verantwortlichen nach Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO – insbesondere Vor-Ort-Kontrollen – Belastungen ausgesetzt wird, welche den vertraglichen Leistungsaustausch aus dem Gleichgewicht bringen, kann er den erwartbaren Mehraufwand bei der Berechnung der vom Verantwortlichen geforderten Hauptleistung pauschal berücksichtigen.
Ergänzend kommen dabei insbesondere vertragliche Bestimmungen in Betracht, dass eine Vor-Ort-Kontrolle grundsätzlich mit einer bestimmten Frist anzukündigen ist oder dass anlasslose Inspektionen mengenmäßig kontingentiert sind. Diese bislang empfohlene Vorgehensweise (vgl. Aktuelle Kurz-Information 6 in der Fassung vom 1.8.2018) steht nach Auffassung des Bayerischen Landesbeauftragten für den Datenschutz auch weiterhin mit Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO in Einklang.
Soweit die neu gefassten Leitlinien 7/2020 des Europäischen Datenschutzausschusses eine Vereinbarung separater, insbesondere nicht pauschalierter Entgelte für Maßnahmen des Verantwortlichen nach Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO nicht ausschließen, sollten die bayerischen öffentlichen Stellen insbesondere die folgenden Überlegungen berücksichtigen:
- Ob eine Klausel für Maßnahmen nach Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO ein eindeutig unverhältnismäßiges oder überhöhtes Entgelt vorsieht, das auf den Verantwortlichen eine abschreckende Wirkung hat, ist stets in Anbetracht der Umstände des Einzelfalls zu würdigen.
- Ein Fall eindeutiger Unverhältnismäßigkeit kann insbesondere vorliegen, wenn die während der Vertragsdauer für Maßnahmen nach Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO erwartbaren Kosten oder Gebühren die Gestalt der vom Verantwortlichen zu erbringenden Hauptleistung wesentlich verändern.
- Ein eindeutig überhöhtes Entgelt kann insbesondere darauf beruhen, dass der tatsächliche Aufwand beim Auftragsverarbeiter zu den vereinbarten Kosten oder Gebühren in einem grob unangemessenen Verhältnis steht (so etwa bei ,Phantasiepreisen‘ für den Einsatz personeller oder sachlicher Ressourcen Auftragsverarbeiter einen Aufwand nicht plausibel zuordnen kann).
- Eine abschreckende Wirkung kann etwa dann in Betracht zu ziehen sein, wenn zu erwarten ist, dass der Verantwortliche Maßnahmen nach Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO auf Grund der Kostenbelastung nicht ohne Überwindung weiterer Hürden veranlassen kann. Das ist insbesondere dann der Fall, wenn bei einem kommunalen Träger nach den einschlägigen Vorschriften ein Gremienbeschluss zur Bewilligung außer- oder überplanmäßiger Ausgaben erforderlich wird.
- Soweit bayerische öffentliche Stellen im Einzelfall separate, insbesondere nicht pauschalierte Entgelte für Maßnahmen nach Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO vereinbaren möchten, sollten sie vor diesem Hintergrund zum einen auf eine strikte Kostentransparenz achten. Dazu gehört neben einer Markterkundung insbesondere eine Aufwandsprognose. Bereits vor Vertragsschluss sollte zumindest überschlägig ermittelt werden, welche Mittel während der Vertragsdauer voraussichtlich für Maßnahmen nach Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO über die Hauptleistung hinaus bereitgestellt werden müssen. Diese Mittel sollten zum anderen in der haushaltsrechtlich angezeigten Form so eingeplant werden, dass der Verantwortliche im Bedarfsfall jederzeit darauf zugreifen kann, insbesondere eine (zusätzliche) Bewilligung nicht erforderlich ist. Im Übrigen sollten kommunale Träger bei Vertragsschlüssen, die der Zustimmung des kollegialen Hauptorgans bedürfen, auch insofern für Kostentransparenz sorgen.“
Der 31. Tätigkeitsbericht des Bayerischen Landesbeauftragten für den Datenschutz vom 25.05.2022 ist hier abrufbar.
Entnommen aus der Fundstelle Bayern, 20/2022, Rn. 242.
