EU-Datenschutz-Grundverordnung
Kostenfalle bei Auftragsverarbeitungen
von
Nils
Müller - 05.11.2018
Foto: Yuriy Vlasenko / shutterstock.com
Die DSGVO verändert das Verhältnis von Unternehmen und Dienstleister. Der Einsatz von sogenannten Auftragsverarbeitern ist dabei strengstens geregelt. Dennoch gibt es einiges zu beachten.
Wenn Unternehmen als Verantwortliche personenbezogene Daten erheben und verarbeiten, werden oft externe Dienstleister (vor allem im Business-Process-Outsourcing) eingesetzt. Die Dienstleister sind in der Regel als Auftragsverarbeiter im Sinne der DSGVO einzuordnen - sodass ein Auftragsverarbeitungsvertrag (AVV) gemäß Artikel 28 DSGVO abzuschließen ist. Nun ist nach Inkrafttreten der DSGVO der Trend zu beobachten, dem Verantwortlichen im Rahmen des AVV Zusatzkosten aufzuerlegen. Vorsicht ist daher geboten, wenn der Dienstleister seinen Muster-AVV zur Verfügung stellt.
Die Ausgangslage
Der Einsatz eines Auftragsverarbeiters ist in der DSGVO streng geregelt. Zum einen hat die Auftragsverarbeitung auf Grundlage eines Vertrages zu erfolgen. Zum anderen hat der Auftragsverarbeiter den Verantwortlichen bei der Einhaltung von Datenschutzbestimmungen zu unterstützen. Artikel 28 DSGVO räumt dem Verantwortlichen etwa die Möglichkeit ein, Audits vor Ort beim Auftragsverarbeiter vorzunehmen.
Die Kosten solcher Audits werden dem Verantwortlichen oft in voller Höhe übertragen. Auch weitere Unterstützungsleistungen wie Auskunfts- und Löschgesuche von betroffenen Personen werden von zusätzlichen Kostenübernahmen abhängig gemacht. Die gesetzlich vorgesehene, zwingend zu
regelnde Unterstützungspflicht wird so von einer oft nicht unwesentlichen Gegenleistung abgängig gemacht.
regelnde Unterstützungspflicht wird so von einer oft nicht unwesentlichen Gegenleistung abgängig gemacht.
Was ist nun zu tun?
Diese Problematik hat der bayerische Landesbeauftragte für den Datenschutz in einem Kurzpapier aufgegriffen. Darin stellt er fest, dass der Verantwortliche auch bei Einsatz eines Auftragsverarbeiters weiterhin vollumfänglich die Einhaltung von Datenschutzbestimmungen zu gewährleisten hat. Dies wird jedoch durch die beschriebene gesonderte Entgeltpflicht für Unterstützungsleistungen des Auftragsverarbeiters behindert. So ein Zusatzentgelt läuft dem Gesetzeszweck der DSGVO entgegen und ist somit als unzulässig zu erachten. Die bayerische Behörde empfiehlt, dass sich Verantwortliche in der Aushandlung der Auftragsverarbeitung nicht zur Zahlung eines Sonderentgelts für Unterstützungsleistungen des Auftragsverarbeiters verpflichten.
Verantwortliche sollten daher davon absehen, zwecks Kostenersparnis auf Unterstützungsleistungen des Auftragsverarbeiters zu verzichten und so die DSGVO-Compliance zu vernachlässigen.
