Die Vor Ort Inspektion

Vor der Durchführung einer Auftragsverarbeitung gem. Art. 28 DSGVO muss zwischen Auftraggeber und Aufragnehmer nach Abs. 3 des Artikels ein Auftragsverarbeitungsvertrag (AV-Vertrag) geschlossen werden, aus dem unter anderem hervorgeht, dass der Auftragnehmer alle erforderlichen Informationen zum Nachweis der Einhaltung der in diesem Artikel niedergelegten Pflichten zur Verfügung stellt und Überprüfungen ermöglicht. Diese Vereinbarung soll den Auftraggeber ermöglichen, die in Abs. 1 genannten Garantien, wie z.B. die Liste der technischen und organisatorischen Maßnahmen, die zwingender Bestandteil des AV-Vertrags werden, zu überprüfen. Doch welche konkreten Möglichkeiten gibt es zur Kontrolle dieser Garantien, und was ist besonders bei einer Vor Ort Inspektion zu beachten?

Kontrollmöglichkeiten des Auftraggebers

Bevor eine Auftragsverarbeitung erteilt wird, müssen die zur Auswahl stehenden potenziellen Auftragsverarbeiter auch auf Ihre Eignung hin überprüft werden.  Hierzu zählt etwa die Überprüfung der vom Auftragsverarbeiter dokumentierten technisch-organisatorischen Maßnahmen gem. Art 32 DSGVO.

Die Überprüfung dieser Maßnahmen geschieht in der Regel nach Aktenlage, z.B. über die Vorlage von Zertifikaten oder Nachweisen eines externen Datenschutzbeauftragten. Nach Art. 28 Abs. 3 S. 2 lit. h) DSGVO ist der Auftragsverarbeiter vertraglich aber zu verpflichten, alle erforderlichen Informationen zum Nachweis der Einhaltung seiner in Art. 28 DSGVO niedergelegten Verpflichtungen zur Verfügung zu stellen. Speziell wird hier die „Inspektion“ genannt.

Fordert nunmehr ein Auftraggeber eine solche Inspektion ein, stellt sich bei beiden Parteien auch gleich die Frage, wer überhaupt befugt bzw. berechtigt ist, die Vor Ort Kontrolle vorzunehmen, wie umfangreich diese sein darf und welche Partei die Kosten trägt.

In vielen Auftragsverarbeitungsverträgen findet sich daher nicht selten eine Vereinbarung, die es dem Auftragnehmer erlauben soll, eine Person zur Durchführung dieser Inspektion auszuwählen. Dem Wortlaut der DSGVO nach, ist dies aber eindeutig nicht gewollt. Vielmehr soll der Auftraggeber selbst oder durch einen von ihm beauftragten Prüfer der Einhaltung der dokumentierten Maßnahmen auditieren können.

Umstritten ist außerdem, ob der Auftragnehmer für die Vor Ort Inspektion vom Auftraggeber ein Entgelt verlangen kann, denn die Verordnung trifft in dieser Hinsicht keine Regelung.  dass eine Regelung im AV-Vertrag für ein gesondertes Entgelt für die Kontrollen des Auftraggebers kritisch zu prüfen ist. Als Gründe nennt die Behörde unter anderem, dass eine solche Vereinbarung die Wahrnehmung der Kontrollrechte faktisch behindern würde, da die Höhe der Kosten einen abschreckenden Charakter hat.

Doch in welchem Umfang kann eine solche Inspektion erfolgen? Das ist nicht weiter in der Verordnung geregelt, auch Rechtsprechung gibt es zu dieser Frage noch nicht. Letztendlich ist der Umfang einer solchen Kontrolle daher auch immer einzelfallabhängig. Denn eine Inspektion findet dort seine Grenzen, wo Rechte und Pflichten des Auftragnehmers berücksichtigt werden müssen. Dies könnten etwa Sicherheitsbedenken in Verbindung mit Geschäftsgeheimnissen sein. Vor der Begehung sollten jedenfalls folgende Punkte beachtet und im Voraus zwischen den Parteien geregelt werden:

• Ausreichende vorherige Ankündigung und Abstimmung mit dem Auftragsverarbeiter;
• Beschränkung z.B. in Bezug auf dem Zeitraum der Inspektionen und die Anzahl der Beteiligten;
• Verpflichtung zur Verschwiegenheit sowie Verbot des Einsatzes von Konkurrenzunternehmen als Prüfer;
• Beschränkung auf die Daten, die von der konkreten Datenverarbeitung betroffen sind (Ausschluss der Einsicht in Daten anderer Auftraggeber);

Sinnvoll und empfehlenswert ist es außerdem, die Zyklen solcher Inspektionen vertraglich zu vereinbaren. Denn die Regelmäßigkeit solcher Kontrollen hängt von verschiedenen Faktoren ab, wie beispielsweise das Risikopotenzial der Datenverarbeitung, die Art und der Umfang der verarbeiteten Daten etc. Üblich und angemessen ist es jedenfalls, dem Auftraggeber einmal pro Jahr eine Vor Ort Inspektion zu gewähren. Je nach Branche ist es aber nicht nur empfehlenswert, sondern angemessen, auch in kürzeren Abständen eine Vor Ort Inspektion durchzuführen, beispielsweise bei der Verarbeitung von sensiblen Daten im Sinne des Art. 9 Abs. 1 DSGVO.

Fazit

Der Auftraggeber sollte vor und vor allem während der Auftragsverarbeitung die Möglichkeiten haben, sich über die getroffenen technischen und organisatorischen Maßnahmen des Auftragsverarbeiters zu überzeugen. Insbesondere muss der Auftraggeber berechtigt sein, im Bedarfsfall angemessene Überprüfungen und Inspektionen, auch vor Ort, bei Auftragnehmern durchzuführen oder durch unabhängige Dritte durchführen zu lassen.

Auftraggeber kann sogar, nach Ansicht des Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg, den Vertrag jederzeit ohne Einhaltung einer Frist kündigen (Sonderkündigungsrecht), wenn ein schwerwiegender Verstoß des Auftragnehmers gegen Datenschutzvorschriften oder die Bestimmungen des Auftragsverarbeiters vorliegt, der Auftragnehmer eine Weisung des Auftraggebers nicht ausführen kann oder will oder der Auftragnehmer Kontrollrechte des Auftraggebers vertragswidrig verweigert.

Darüber hinaus sollten Auftragnehmer und Auftraggeber vorab die Grenzen und den Umfang der Vor Ort Kontrolle schriftlich festlegen, sodass die Interessen beider Parteien im erforderlichen Maße berücksichtigt werden und nicht erst bei der Inspektion ausgehandelt werden müssen.