Aufsatz : Zur inhaltlichen Ausgestaltung der Auftragsverarbeitung nach Art. 28 DS-GVO – Teil 2* : aus der RDV 6/2021 Seite 316 bis 325
Der nur scheinbar erschöpfende Anforderungskatalog des Art. 28 DS-GVO bietet Konfliktpotenzial in gleich mehrerlei Hinsicht. So sind neben eher „formalen“ Gesichtspunkten (wie z.B. der Einheitlichkeit des Vertragswerks durch Verweis auf externe Dokumentationen) auch ganz praktisch und bisweilen wirtschaftlich elementar bedeutsame Erwägungen (wie z.B. die Möglichkeit, die vertragliche Haftung einzuschränken) zu beachten. Ergänzend wird die Frage beleuchtet, wer auf Seiten des Verantwortlichen die Kontrollen gegenüber Auftragsverarbeitern durchzuführen hat und ob insbesondere der betriebliche Datenschutzbeauftragte diese Aufgabe übernehmen kann.
I. Ausschluss oder Begrenzung der Haftung
Gewissermaßen ein „Evergreen“ der Vertragsgestaltung sind – auch beim Datenschutz, ähnlich wie in anderen Rechtsgebieten – Bestimmungen, welche das rechtliche (und finanzielle) Einstehen müssen einer Partei für die Verletzung einer vertraglichen Pflicht zum Inhalt haben. Demgemäß weit verbreitet sind Versuche der Vertragsparteien, dieses Vorhaben in sprachlich entsprechende, vorteilhafte Klauseln zu gießen. Immer dort, wo aber eine mögliche Verlagerung der juristischen Verantwortlichkeiten im Raum steht, sind auch hier wiederum gesetzliche Grenzen zu beachten.
1. Vorgaben durch das Datenschutzrecht
Ausgangspunkt für die Beurteilung, welchen Inhalt einzelne Regelungen zur Haftung innerhalb eines AV-Verhältnisses i.S.v. Art. 28 DS-GVO haben dürfen, ist Art. 82 DS-GVO. Dieser eröffnet der betroffenen Person einen Anspruch auf Ersatz des durch eine unrechtmäßige Verarbeitung ihrer Daten verursachten Schadens[1] gegen den Verantwortlichen oder gegen den Auftragsverarbeiter (Art. 82 Abs. 1 DS-GVO), d. h. sie kann sich grds. an beide Unternehmen wenden. Die Absätze 2 und 3 präzisieren diesen Anspruch dahingehend, dass die Vertragsparteien nur in dem Umfang haften, in dem sie für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind. Dies dient wiederum einer weitgehenden Sicherung und umfassenden Durchsetzung der Rechte der betroffenen Person.[2]
Damit legt die Verordnung (bis hierhin) hauptsächlich den Fokus auf das sog. Außenverhältnis, also das Verhältnis zwischen Verantwortlichem oder Auftragsverarbeiter auf der einen und betroffener Person auf der anderen Seite. Darauf aufbauend bestimmt nun Abs. 4, wie sich die Vertragsparteien untereinander – also im Innenverhältnis – über den zu leistenden Schadenersatz auseinanderzusetzen haben. In der Praxis dürfte es häufig darauf hinauslaufen, dass sich die betroffene Person an ausschließlich eine der beiden Parteien aus dem AV-Vertrag wendet, mutmaßlich den – sei es regional bedingt oder kraft Sachzusammenhangs – am nächsten Greifbaren. Für diesen Fall bestimmt Abs. 5 in Art. 82 DS-GVO, dass für den Innenausgleich eine Partei berechtigt ist, von der anderen den Teil des Schadenersatzes zurückzufordern, der ihrem spezifischen Anteil an der Verantwortung für den konkreten Schaden entspricht.[3] Der Innenausgleich ist in der Regel von wirtschaftlich größerer Bedeutung und wird von den Vertragsparteien selbst ausgehandelt.
Soweit die Vorschrift davon spricht, dass der Verantwortliche oder der Auftragsverarbeiter für einen durch die Verarbeitung „verursachten Schaden verantwortlich“ sein muss, darf dies nicht gleichgesetzt werden mit der Verantwortlichkeit gemäß Art. 4 Nr. 7 DS-GVO. Entgegen der missverständlichen deutschen Sprachfassung der Verordnung ist damit tatsächlich das Verschulden der Beteiligten gemeint.[4] Im Ergebnis handelt es sich dabei um eine „spezielle deliktische Haftungsnorm“, welche durch die entsprechenden Regelungen im BGB (speziell die §§ 831 ff.) ergänzt wird.[5] Damit sieht die DS-GVO wohl vor, dass eine anteilige Haftung der Vertragsparteien gemessen an dem konkret verursachten Schaden eintreten soll.
2. Abdingbarkeit von Art. 82 DS-GVO
Mit Verweis auf den Willen des Verordnungsgebers wird vereinzelt vertreten, dass Ausschlüsse oder Beschränkungen der Haftung auf vertraglicher Grundlage auch für leichte Verstöße generell unzulässig seien. Dies gebiete zum einen der Wortlaut von Art. 82 Abs. 3 DS-GVO, der eine Befreiung von der Haftung für den Beteiligten nur dann zulässt, wenn er nachweist, dass er in „keinerlei Hinsicht“ für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.[6] Zudem entfiele ansonsten die abschreckende Wirkung, welche die Verpflichtung zum Schadensersatz entfalten soll, auch zur Einhaltung der Rechtmäßigkeit der Verarbeitung im Übrigen. Diese Vorgaben würden ausgehebelt, wenn einem Verantwortlichen oder Auftragsverarbeiter von vornherein die Haftung auch ohne speziellen Nachweis erlassen würde.[7]
Der Gegenmeinung folgend,[8] sei zunächst und mangels spezialgesetzlicher Regelungen in der DS-GVO kein generelles Freizeichnungsverbot anzunehmen. Vielmehr seien die einzelnen vertraglichen Regelungen im Lichte der europäischen Grundrechte-Charta auszulegen. Demgemäß könnte es zulässig sein, zumindest in einem direkt mit der betroffenen Person geschlossenen (Nicht-AV-)Vertrag bestimmte verhältnismäßige Beschränkungen zur Haftung niederzulegen. Solange also der Vertrag weiterhin eine effektive Durchsetzung der Betroffenenrechte gewährleistet, sei z.B. eine Einschränkung für den Grad des Verschuldens durchaus zulässig.[9]
Mag man eine die Haftung beschränkende Regelung im AV-Vertrag an sich billigen, so dürfte dies in erster Linie dann zulässig sein, wenn die fragliche Vereinbarung unmittelbar mit den betroffenen Personen geschlossen worden ist. Da diese jedoch in den seltensten Fällen selbst Partei des AV-Vertrages sind, haben sie folglich in dieser Hinsicht keine Möglichkeit, auf die Ausgestaltung ihrer Rechte unmittelbar Einfluss zu nehmen. Die Schutzwirkung von gesetzlichen Vorschriften (hier: Art. 82 DS-GVO) muss daher ihre Geltung erst recht in einer solchen Konstellation beanspruchen. Ob der – zwischen Verantwortlichem und Auftragsverarbeiter – durch entsprechend gestalterischer Vereinbarungen vermittelte Schutz dann jedoch vom Niveau her prinzipiell höher ausfallen müsse, als wenn die betroffene Person selbst an diesem Gestaltungsprozess unmittelbar beteiligt wäre, darf bezweifelt werden. Zumindest findet eine solche Erwägung keine gesetzliche Stütze.
Unter der zuvor genannten Prämisse, dass die betroffene Person infolge transparenter Information in gewissem verhältnismäßigem Rahmen über die Geltendmachung ihrer persönlichen Rechte disponieren kann, muss es daher auch zwischen den Parteien des AV-Vertrages möglich sein, spezifische Vereinbarungen über Modalitäten der Haftung niederzulegen, sofern dadurch kein faktischer Ausschluss des Schadenersatzes (zu Lasten anderer, insbesondere der betroffenen Personen) erfolgt.
3. Einbeziehung des AGB-Rechts
Nach der hier vertretenen Meinung wird also grds. eine die Haftung modifizierende, d.h. auch begrenzende Regelung innerhalb eines AV-Vertrages für zulässig erachtet. Die allgemeinen zivilrechtlichen Regelungen zur Zulässigkeit von vertraglichen Bestimmungen ergänzen hier die spezialgesetzlichen (vor allem die datenschutzrechtlichen) Vorgaben. Als Maßstab für die Inhaltskontrolle ist in der Folge § 307 Abs. 2 Nr. 1 BGB auszusparen, wonach eine Klausel unzulässig ist, wenn die Bestimmung mit wesentlichen Grundgedanken der gesetzlichen Regelung, von der abgewichen wird, nicht zu vereinbaren ist. Denn nach hiesigem Standpunkt würde durch eine vertragsgestaltende Maßnahme gerade nicht von einer feststehenden (also nicht-dispositiven) Regelung abgewichen.
Es steht indes nicht zu befürchten, dass die verbleibenden Vorschriften als Kontrollmaßstab unangemessene Lücken für allzu kreative Vertragsgestaltungen entstehen lassen. Insbesondere bietet § 307 Abs. 2 Nr. 2 BGB die Möglichkeit, die Erreichung des Zwecks eines AV-Vertrages dahingehend auszulegen, dass die weitgehende Gewährleistung bzw. effektive Umsetzung der Betroffenenrechte als in diesem Kontext „wesentlich“ erachtet wird. Demgemäß würden vertragliche Bestimmungen, welche dieses Ziel zu unterlaufen drohen, gleichsam als unwirksam bewertet. Und selbst Vertreter der konträren Auffassung – wonach Art. 82 DS-GVO nicht dispositiv sei – räumen mitunter ein, dass ein Abrücken von diesem gesetzlichen Grundgedanken unter Berücksichtigung allgemeiner zivilrechtlicher Erwägungen zulässig sein könne; immerhin sei denkbar, dass jedenfalls leichte Fahrlässigkeit ausgeschlossen werde und nur die vorhersehbaren Schäden umfasst seien.[10]
Die vor diesem Hintergrund denkbaren Vereinbarungen müssen dabei jedoch stets dem unionsrechtlichen Äquivalenz- und Effektivitätsprinzip[11] Genüge tun. Im Gegensatz zu den recht ausführlich gestalteten Anforderungen an die Verhängung von Bußgeldern in Art. 83 DS-GVO[12] hat der Schadensbegriff keine nähere Konkretisierung erfahren. Demnach ist es Aufgabe des innerstaatlichen Rechts eines jeden Mitgliedstaats, die Einzelheiten zur Durchsetzung der entsprechenden Ansprüche festzulegen, wobei die betreffenden Vorschriften nicht weniger günstig ausgestaltet sein dürfen als die für Schadensersatzklagen wegen Verstoßes gegen rein nationale Vorschriften. In diesem Zusammenhang sind insbesondere die AGB-rechtlichen Regelungen zur Inhaltskontrolle von Bedeutung.
Im geschäftlichen Verkehr sind – anders als bei der Beteiligung von Verbrauchern – zwischen Unternehmen zwar keine so strengen Maßstäbe bei der hiernach vorzunehmenden Beurteilung anzulegen. Dennoch werden der Vertragsfreiheit insoweit durch die Rechtsordnung Grenzen gesetzt, als das Gleichgewicht von Leistung und Gegenleistung bedroht ist. Im unternehmerischen Umfeld ist hier vor allem an § 307 BGB zu denken. Hier dürfte auch die Monopolstellung oder Marktmacht von großen Dienstleistern zu berücksichtigen sein.
Daneben sind einzelne Klauseln möglicherweise nach § 305c BGB so ungewöhnlich, dass der Vertragspartner des Verwenders mit ihnen nicht zu rechnen braucht. Dies kann beispielsweise dadurch hervorgerufen werden, dass der AV-Vertrag auf eine Bestimmung zur Haftung aus dem Hauptleistungsvertrag verweist, bspw. durch eine Formulierung wie „Es gelten die Haftungsregelungen aus dem Hauptvertrag“. Zwar wird ein solcher Verweis auf externe Unterlagen und sonstige Vertragsdokumente von der Rechtsordnung durchaus gebilligt[13] und deshalb nicht zwangsläufig zur Unzulässigkeit der gesamten Regelung führen. Es ist aber dennoch auf den Erwartungshorizont des für diesen (AV-) Vertrag typischen Kundenkreises und dessen Geschäftserfahrung sowie auf die drucktechnische Gestaltung der Klausel abzustellen.[14] So kann auch im unternehmerischen Umfeld ein wirksamer Verweis auf den Hauptvertrag u. U. daran scheitern, dass dieses weitere Dokument nicht konkret genug bezeichnet oder gar nicht bekannt ist. Es sollte daher sichergestellt sein, dass die betreffenden Unterlagen eindeutig erkennbar (z.B. durch direktes Beifügen, sei es in Papierform oder eingescannt als PDF) oder anderweitig hinreichend präzise benannt werden, etwa durch Angabe einer Auftrags- oder Vorgangsnummer, notfalls durch Zitieren der Überschrift des jeweiligen Vertrages mit Angabe des Zeichnungsdatums und der Revision oder des Änderungsdatums.
Was im Einzelfall darüber hinaus für die jeweilige Vertragspartei im Sinne der obigen Vorschriften überraschend oder unangemessen ist, eröffnet hinreichenden Spielraum, um z.B. branchenübliche Gepflogenheiten – so diese im Rahmen von AV-Verträgen überhaupt Platz finden können – zu berücksichtigen.
4. Zulässige Regelungen im Innenverhältnis (zwischen den AV-Vertragsparteien)
Dabei ist zu unterscheiden, ob eine Haftungsregelung unmittelbar mit der betroffenen Person vereinbart wird (z.B. über einen entsprechenden Servicevertrag oder innerhalb von Nutzungsbedingungen) oder ob diese ihren Ursprung in dem AV-Vertrag zwischen Verantwortlichem und Auftragsverarbeiter hat.
Soweit in der Literatur darauf verwiesen wird, eine Regelung zur Haftung entziehe sich der Vertragsfreiheit der Parteien, so wird dies primär im Hinblick auf den zu leistenden Schadensersatz in seiner Außenwirkung zu werten sein.[15] Daher wird eine solche Regelung also allenfalls im Verhältnis zwischen dem Verantwortlichen und der betroffenen Person in Betracht zu ziehen sein. Mit Recht wird in diesem Zusammenhang auf ErwG 146 der DS-GVO hingewiesen, welcher den betroffenen Personen „einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden“ zuspricht.
Ausgangspunkt für die Betrachtung, was im Innenverhältnis – zwischen Verantwortlichem und Auftragsverarbeiter – an haftungsbegründenden Vereinbarungen zulässig sein mag, ist also gleichwohl der Anspruch auf Schadensersatz, den eine betroffene Person geltend macht und ohne den eine Diskussion um etwaige Beschränkungen oder Verschiebungen des finanziellen Geradestehens obsolet ist.
In Bezug auf eine graduelle Abstufung der Haftung zwischen den Parteien des AV-Vertrages gilt es hingegen genauer zu differenzieren. Denn der Umstand, dass nach außen hin der Schadenersatzanspruch (weitestgehend) unbegrenzt gewährleistet sein muss, bedingt für sich genommen noch nicht die rechtliche Notwendigkeit, das Innenverhältnis gleichermaßen von jeglichen Modifikationen auszunehmen.
Es sind dabei verschiedene Ausprägungen denkbar – angefangen bei dem vollständigen Ausschluss jeglicher Haftung über die teilweise Verlagerung hin zu einer Partei (z.B. was bestimmte Schäden dem Grund oder der Höhe nach angeht) bis hin zu einer bloßen Übernahme der gesetzlichen Bestimmungen (in der Regel durch einen schlichten Verweis auf Art. 82 DS-GVO).
5. Vollständiger Ausschluss der Haftung
Letztgenanntem (etwa in der Form: „Auf Art. 82 DS-GVO wird verwiesen.“) ist freilich nichts entgegenzuhalten, außer dem möglichen Einwand, dass – wenn auch in überschaubarem Maße – der Vertragstext ausgedehnt werde und man sich durch bloßes Zitieren des Gesetzes (letztlich) unnötig wiederhole, ohne einen Mehrwert zu schaffen. Rein rechtlich ist eine klarstellende Bezugnahme auf die einschlägige Norm jedoch als unkritisch zu betrachten.
Ebenso unproblematisch dürfte die „Extremposition“ des vollständigen und bedingungslosen Ausschlusses jeglicher Haftung für den Auftragsverarbeiter sein (z.B. durch eine Formulierung wie „Die Haftung des Auftragsverarbeiters ist ausgeschlossen“). Hierbei tritt der Widerspruch zur Rechtslage, wie sie vom Verordnungsgeber beabsichtigt ist, ohne weiteres zu Tage, wenn man nur den Wortlaut betrachtet. Sowohl nach den differenzierten Regelungen in Art. 82 DSGVO selbst wie auch durch eine Wertung anhand von § 307 BGB ist ein Abweichen von dem gesetzlichen Grundgerüst offensichtlich, wodurch die Klausel zu solch einem schlichten und pauschalen Haftungsausschluss – wie oben exemplarisch zitiert – unzulässig ist.
6. Teilweise Beschränkung der Haftung
Soweit unter den zuvor geäußerten Bedingungen[16] immerhin eine teilweise Begrenzung der (vertraglichen) Haftung vorgenommen werden darf, ist freilich auch hier desto eher von einer unzulässigen Gestaltung auszugehen, je stärker sich das finanzielle Risiko in Richtung einer der beiden Parteien verlagert. Wird also im Falle des Falles der Verantwortliche berechtigt, den weit überwiegenden Anteil – von etwa 90% – der Ersatzsumme pauschal auf den Vertragspartner abzuwälzen, setze dies das gesetzlich gewollte Regime zum Innenausgleich faktisch außer Kraft.[17] Dem ist insofern vom Ergebnis her zuzustimmen, als sich diese Wertung auch mit dem vorliegend vertretenen Standpunkt, dass alternativ für die Inhaltskontrolle im Kern § 307 Abs. 2 Nr. 2 BGB heranzuziehen ist, herleiten lässt.
Systematisch kann es dabei vorrangig um zwei Szenarien gehen, die gewissermaßen von außen auf die Vertragsparteien einwirken: (1) ein Anspruchsteller macht Schadensersatz oder Schmerzensgeld geltend; oder (2) eine Aufsichtsbehörde verfügt entweder bestimmte Sanktionen, welche sich mittelbar monetär auswirken (z.B. durch Produktionsoder Dienstausfallzeiten), oder verhängt auch direkt ein Bußgeld. In beiden Szenarien kann sich prinzipiell die Frage stellen, inwieweit eine vertragliche Verlagerung der Haftung statthaft sei.
In Bezug auf den Schadensersatz kommt ein teilweiser Verzicht auf Innenausgleich – nichts anderes wäre in der Praxis die Übernahme eines darauf gerichteten Haftungsrisikos – vorliegend in Betracht, sofern sich die Vereinbarungen im Rahmen der einschlägigen nationalen Vorschriften, insbesondere derer zur AGB-rechtlichen Inhaltskontrolle nach den §§ 305 ff. BGB bewegen. Schwierigkeiten dabei bereitet die nach wie vor offene und daher strittige Auslegung, in welchem Umfang die Möglichkeit zur Exkulpation gemäß Art. 82 Abs. 3 DS-GVO greift.[18] Insbesondere Fragen nach der Kausalität einzelner Verfehlungen als schadensauslösendes Moment wären im Einzelfall zu klären.[19]
Selbst diejenigen Stimmen in der Literatur, welche den Regelungen in Art. 82 DS-GVO ihren dispositiven Charakter absprechen, tendieren dazu, in engen Grenzen Ausnahmen zuzulassen.[20] So könnten in den überwiegenden Fällen zumindest bestimmte, leichte Verstöße bzw. überschaubare Schadensverläufe aus dem Verantwortungsbereich des jeweils Verpflichteten (sprich: desjenigen Beteiligten, der von der betroffenen Person in Anspruch genommen wird und darauffolgend den anderen Vertragspartner in Regress nimmt) ausgeklammert werden.
Vor dem Hintergrund der Bestimmungen in Art. 83 DSGVO, die vergleichsweise strikt und detailliert daherkommen, wird die Übernahme von Bußgeldern zwischen den Parteien eines AV-Vertrages hingegen schwerlich begründbar sein. Insbesondere die ausdrückliche Vorgabe, dass die verhängten Geldbußen „wirksam, verhältnismäßig und abschreckend sein“ sollen – so Art. 83 Abs. 9 S. 2 DS-GVO – lässt keinen ersichtlichen Raum für vertragliche Dispositionen in diesem Kontext.[21] Diese Erwägungen dürften in wesentlichen Teilen auch auf das Ergreifen anderweitiger Sanktionen, die von der zuständigen Aufsichtsbehörde explizit gegenüber einem der Beteiligten ergriffen werden, zu übertragen sein. Folglich dürfte es – unabhängig von den tatsächlichen Möglichkeiten – mit Sinn und Zweck dieser Sanktionen unvereinbar sein, wenn die eine Partei des AVVertrages sich zur Übernahme von verwaltungsrechtlichen Verpflichtungen der jeweils anderen aus einer behördlichen Auseinandersetzung bereit erklärt.
II. Einbeziehung externer Dokumente und Webseiten
Ein ebenso mannigfaltiges Thema ist die Einbeziehung von externen Dokumenten oder auch Webseiten innerhalb des AV-Vertrages bzw. der Verweis auf andere Quellen außerhalb des zu besprechenden Vertragswerks. Das bekannteste Beispiel hierfür ist sicherlich der Verweis auf ein zusätzliches Dokument, das losgelöst vom AV-Vertrag die technischen und organisatorischen Maßnahmen gem. Art. 32 DS-GVO bzw. ein entsprechendes Sicherheitskonzept darstellt. Doch auch ein Link oder Hinweis im Vertrag auf eine Webseite mit entsprechenden Darstellungen taucht in der Beratungspraxis immer wieder auf. Vor allem internationale Anbieter bedienen sich dieses Handgriffs, um einerseits die Aktualität der relevanten Angaben und Informationen zu gewährleisten, andererseits den „DPA“ (Data Processing Agreement) relativ kurz und abstrakt zu auszugestalten. Das ist sogar ressourcenschonender, als seitenweise Anhänge mitzuschicken.
1. Verweis auf externeDokumentation
Die technischen und organisatorischen Maßnahmen (kurz: TOMs) werden bisweilen mit Checklisten, bisweilen auch als „IT-Konzept“ auf Seiten des Auftragsverarbeiters skizziert und dem Verantwortlichen zur Prüfung vorgelegt. Dabei gilt es zu berücksichtigen, dass diese Prüfung oder Kontrolle einerseits vor bzw. bei Vertragsabschluss stattfinden, andererseits aber auch im Zuge der regelmäßigen Nach-Kontrolle gem. Art. 28 Abs. 3 S. 2 lit. h) DS-GVO innerhalb der laufenden Vertragsbeziehung erfolgen kann.
a) Vorgaben aus der DS-GVO
Das führt zur vorgelagerten Frage: Sind die TOMs überhaupt zwingender Bestandteil des AV-Vertrages? Aus Art. 28 Abs. 3 S. 2 lit. c) DS-GVO ergibt sich nur die Vorgabe, dass der Auftragsverarbeiter „alle gemäß Art. 32 erforderlichen Maßnahmen ergreift“.[22] Daher wird diese Regelung in der Rechtswissenschaft teilweise für deklaratorisch erachtet.[23]
Hier wurde vom Verordnungsgeber das „Ergreifen“ dieser Maßnahmen, nicht jedoch die „Dokumentation“ oder das „Festlegen“[24] derselben (wie im alten BDSG, bis 2018) in den Wortlaut der Vorschrift aufgenommen, woraus sich deuten lässt, dass eine Dokumentation der TOMs gem. Art. 32 DS-GVO nicht zwingend erforderlich ist und insbesondere im Geltungsbereich der DS-GVO nicht innerhalb des AV-Vertrages zu erfolgen hat. Die Verordnung verweist an dieser Stelle lediglich auf den Art. 32 DS-GVO, der diese Pflicht ohnehin aus den Absätzen 1 und 4 von Art. 28 DS-GVO dem Auftragsverarbeiter unmittelbar auferlegt; d.h. sie würde per se greifen und von jedem Unternehmen auch unabhängig einer Auftragsverarbeitung umzusetzen sein.
Bereits aus den allgemeinen Anforderungen, wonach der Verantwortliche zu prüfen hat, dass er nur mit Auftragsverarbeitern arbeitet, „die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet“ (Art. 28 Abs. 1 DS-GVO), werden die TOMs einbezogen.[25] Deshalb muss der Verantwortliche in die Lage versetzt werden, den Auftragsverarbeiter vorab prüfen und jederzeit kontrollieren[26] zu können, was auch die Überprüfung der bereits ergriffenen TOMs mit umfasst (vgl. auch Art. 28 Abs. 3 S. 2 lit. h) DS-GVO). Dies gilt ebenso für den Nachweis der insgesamt sachgerechten Auswahl des Auftragsverarbeiters nach Art. 28 Abs. 1 S. 1 DS-GVO[27] und sollte wiederum aus Gründen der Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO dokumentiert werden.[28] Diesbezüglich gilt es zu beachten, dass sich in den AV-Verträgen regelmäßig Klauseln wiederfinden, die eine Anzeige oder Zustimmung des Verantwortlichen bei der Veränderung, zumindest bei der Verschlechterung des Sicherheitsniveaus bzw. der TOMs regeln. Eine derartige Klausel erscheint grundsätzlich sinnvoll, setzt aber voraus, dass sich diese Veränderungen abbilden, respektive durch Gegenüberstellung des StatusQuo prüfen lassen.
Diese Aspekte lassen den Schluss zu, dass eine „klassische“ Dokumentation der TOMs auf Papier bzw. in einer eigenen Datei (vgl. dazu Art. 28 Abs. 9 DS-GVO) die gestellten Anforderungen problemlos wird erfüllen können. Im Gegensatz zu einem Vertrag, der per E-Mail oder Briefpost verschickt wird, stellen sich bei einem Online-Dokument jedoch Folgefragen: Wie können Zugang und Vertragsschluss (etwa durch einen elektronischen Zeitstempel) verlässlich vermerkt werden? Auf welche Weise können die Vertragsparteien eine rechtsgültige Kopie des Dokuments erlangen? Und wie lässt sich beweisen, dass genau dieses besagte Dokument beiden Vertragsparteien vorgelegen hat?
b) Rechtssicherheit
Zudem bestehen ganz offenkundige Risiken, denn es ist möglich, dass die Webseite, auf die solcherart verwiesen wird, technische Störungen hat, so dass die Inhalte vorübergehend oder gar nicht mehr abrufbar wären. Damit könnte letztlich eine Kontrolle der TOMs wie auch die Prüfung von Veränderungen zumindest erschwert, bisweilen gar unmöglich gemacht werden. Die zuvor aufgeworfenen Fragen zu ausschließlich online verlinkten Inhalten mögen überdies problematisch werden, wenn es darum geht, deren wirksame Einbeziehung gegenüber externen Kontrolleuren oder der Aufsichtsbehörde zu beweisen (so auch nach Art. 5 Abs. 2 DS-GVO).
Beschreibungen der TOMs auf einer Webseite genießen zwar den Vorteil, sich im stetigen Wandel der Anpassungen und Verbesserungen zu befinden, und könnten durch verknüpfte Erklärungen, FAQs und Zertifikate einen Mehrwert bieten, ermöglichen allerdings keine beweissichere Dokumentation des konkreten „Ist-Zustands“ bei Vertragsverhandlungen. Zudem könnte die Verbindlichkeit der ergriffenen Maßnahmen infrage gestellt werden, würden sich diese lediglich als allgemeingültige Inhalte einer Webseite darstellen, die jederzeit geändert werden kann. Möglicherweise leidet deshalb auch die Nachvollziehbarkeit im Ganzen darunter, wenn etwa Texte innerhalb des Onlineauftritts bearbeitet werden können, ohne hinreichend dem Aspekt der Revisionssicherheit Rechnung zu tragen. Man könnte gar erwägen, ob der Auftragsverarbeiter vor diesem Hintergrund zusätzlich verpflichtet wäre, wiederum spezifische ergänzende Angaben in Bezug auf die TOMs zur Webseite selbst zu tätigen.
Daher dürften wegen den Rechenschaftspflichten und dem Erfordernis zur verbindlichen Dokumentation die Darstellungen der TOMs vorab und im Rahmen des AV-Vertrages (unter Umständen als Anhang) vorzugswürdig erscheinen. Sie sollten daher als notwendiger Bestandteil des Vertragsinhaltes verstanden werden, was durch einen dynamischen Verweis auf ein externes Dokument oder einer Webseite, die ggf. auch durch dritte Personen verwaltet wird, nicht gewährleistet wird.
2. Verweis auf eine externe Liste der „Unterauftragnehmer“
Die vergleichbare Fragestellung besteht bei der Benennung von weiteren Auftragsverarbeitern. Auch hier begegnen einem in der Praxis teilweise Vertragsmodelle, wonach die einbezogenen Dienstleister oder Tochtergesellschaften in ihrer Rolle als weitere Auftragsverarbeiter (Unterauftragnehmer) lediglich auf einer hierfür geschaffenen Webseite bzw. in einer verlinkten Datei abrufbar sein sollen und deshalb nicht im Vertragstext selbst aufgeführt und festgehalten werden.
a) Vorgaben aus der DS-GVO
Zunächst lässt sich konstatieren, dass die DS-GVO keine konkreten Vorgaben aufweist, wie die Unterauftragnehmer abzubilden sind. Solche gehören offenbar nicht zum Pflichtenkatalog aus Art. 28 Abs. 3 S. 1 DS-GVO, der die Eckpfeiler der konkreten Auftragsverarbeitung festhält.[29]
Nach Art. 28 Abs. 3 S. 2 lit. d) DS-GVO haben der AVVertrag oder das vergleichbare Rechtsinstrument insbesondere vorzusehen, dass der Auftragsverarbeiter „die in den Absätzen 2 und 4 genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters einhält“, womit auch Bezug genommen wird auf die vorherige oder allgemeine Genehmigung des Verantwortlichen zur Hinzuziehung oder Änderung von weiteren Auftragsverarbeitern, welche es hiermit zu regeln gilt.[30] Solche weiteren Auftragsverarbeiter können bekanntermaßen eine mehrstufige Kette der Datenverarbeitung bilden und in dieser Ausprägung das Durchführen von Kontrollen wie auch überhaupt die vollumfängliche Kenntnisnahme der Datenverarbeitung bis zum letzten Glied in der IT-Infrastruktur (z.B. dem Webhoster) erschweren.[31]
Denklogisch bedarf es für die Kontrolle und Einhaltung der datenschutzrechtlichen Vorgaben überhaupt der Kenntnis über solche weiteren Auftragsverarbeiter. Zum Bestandteil des Vertrages sollte deshalb nach Art. 28 DS-GVO auch die Darstellung von „Unterauftragnehmern“ zählen. Denn zum einen sind diese weiteren Auftragsverarbeiter und deren Einsatz je nach Umsetzung der Alternativen aus Art. 28 Abs. 2 DS-GVO genehmigungspflichtig, zum anderen müssen spätere Änderungen dieser „Unter-Auftragsverarbeiter“ ebenso bekannt gegeben werden.[32] Daraus lässt sich die Pflicht ableiten, die weiteren Auftragsverarbeiter bereits direkt im AV-Vertrag aufzuführen. Vor allem wegen eines etwaigen Drittlandtransfers und angesichts der „Schrems II“-Problematik[33] hat dieses Kriterium noch weiter an Bedeutung zugenommen.
b) Ausgestaltungsmöglichkeiten und Grenzen
Der Verweis auf eine Webseite bietet die Vorteile der Aktualität, insbesondere bei sich verändernden Gegebenheiten, ist jedoch wie auch bei Abbildung der TOMs wegen vielerlei Gesichtspunkten zu kritisieren. Als alleiniges und ausschließliches Mittel wäre es mit der DS-GVO unvereinbar, die tatsächlich eingesetzten Dienstleister lediglich auf einer Webseite anzuzeigen. Andernfalls müsste der Verantwortliche in der Konsequenz praktisch jeden Tag auf diese OnlineListe schauen, um seine Zustimmung ausüben zu können.
Ohnehin kann darüber hinaus die Transparenz der Datenverarbeitung angezweifelt werden, wenn die „Sub-Dienstleister“ erst über mehrere Klicks bzw. in anderen Quellen einsehbar sind, und damit in keiner Weise bei Vertragsschluss sofort erkennbar. Dies kollidiert mit dem Genehmigungs- bzw. Zustimmungscharakter der Vorschrift aus Art. 28 Abs. 2 DS-GVO. Schließlich würde es auch die Kontrollmöglichkeiten unterlaufen.[34]
Dieser Problematik könnte zwar eine „Benachrichtigungsfunktion“, beispielsweise automatisch per E-Mail, entgegenkommen. Ein Folgeproblem könnte sich aber daraus ergeben, wie detailliert (oder im Gegensatz: allgemein gehalten) diese Benachrichtigung ausfällt. Immerhin muss von vornherein sichergestellt sein, dass der Verantwortliche unmittelbar alle für ihn nötigen Informationen an die Hand bekommt, um von seinem Genehmigungs- oder Widerspruchsrecht fachkundig Gebrauch zu machen. Andernfalls wäre die offenkundige Notwendigkeit eines aktiven Handelns mittelbar als eine Beschränkung zur Ausübung der Kontrolle und somit eine Benachteiligung des Verantwortlichen zu vermuten.
Ähnlich wie schon für die TOMs bewertet,[35] besteht insgesamt die Gefahr, dass sich hier ebenso wenig der Vertragsgegenstand belegen, respektive die dazugehörigen Umstände der konkreten Datenverarbeitung und eingesetzten weiteren Auftragsverarbeiter zum Zeitpunkt des Vertragsschlusses fixieren lassen. Schließlich setzt die Genehmigung die eindeutige Kenntnis, d. h. die belegbare, schriftliche bzw. textliche Fixierung der weiteren Auftragsverarbeiter voraus.
Entsprechende Regelungen sind daher streng danach zu beurteilen, ob sie transparent und in leicht verständlicher Weise es zulassen, schnell und beweissicher die notwendigen Inhalte aufzufinden. Vereinbarungen bzw. Verlinkungen, die diesen Anforderungen nicht genügen, dürften an die Grenzen nach § 307 Abs. 2 oder § 305c BGB stoßen, und es spricht vieles für die Unzulässigkeit eines derartigen Vertragsmodells. Im Ergebnis und wie üblich im europäischen Rechtsraum sollten die weiteren Auftragsverarbeiter im AV-Vertrag (ggf. in einem Anhang) festgehalten und damit direkt einbezogen werden.
III. Dokumentation der Weisung
Ähnlich wie der beweissicheren Einbeziehung von Regelungen zu Unterauftragnehmern ist die Folgefrage zu beleuchten: Wie müssen Weisungen im Sinne von Art. 28 Abs. 3 S. 2 lit. a) DS-GVO, die neben der ursprünglichen bzw. anfänglichen Festlegung des Vertragsinhalts die Auftragsverarbeitung während ihrer Laufzeit signifikant ausgestalten und bestimmen können, ausgesprochen und dokumentiert werden? Ferner wäre zu erörtern, ob diese Weisungen des Verantwortlichen auch (fern)mündlich erfolgen können.
1. Vorgaben aus der DS-GVO
Die Verordnung lässt in Art. 28 Abs. 3 S. 2 lit. a) DS-GVO erkennen, dass die Textform oder Schriftform anzuraten ist, um dem Merkmal der „Dokumentation“ zu entsprechen.[36] Ohnehin ist zumeist in der Praxis innerhalb des AV-Vertrages die Schriftform geregelt, allerdings zumeist nicht, wer die Weisungen zu dokumentieren hat.[37]
Dabei ist die Weisung noch nicht einmal als solche definiert. Was als Weisung im gesetzlichen Sinne zu verstehen ist, gilt es daher zunächst einmal einzugrenzen. Rein praktisch könnte unter einer solchen „Weisung“ auch die „Ablehnung“ des Einsatzes weiterer Auftragsverarbeiter oder die „Beendigung“ der Auftragsverarbeitung bzw. die „vollständige Rückgabe“ der Daten fallen. Derartige Forderungen können erheblich vertragsrelevant sein und sollten daher beiden Parteien deutlich vor Augen geführt werden. Insofern sollten sich die Parteien einig sein, wie die Weisungen zu erteilen, respektive zu dokumentieren sind.
2. Handlungsspielraum der Vertragsparteien
Dabei können die Vertragsparteien auch regeln bzw. aushandeln, wer diese Weisungen zu dokumentieren hat. Diese Aufgabe könnte entweder gänzlich dem Verantwortlichen oder aber primär dem Auftragsverarbeiter zukommen.
Ferner wäre im nächsten Schritt zu klären, ob und inwiefern dies zusätzliche Kosten verursacht und wie die Befolgung einer Weisung im Einzelfall ohnehin zu gewährleisten ist. Könnte beispielsweise die weisungsempfangende Stelle, in der Regel der Auftragsverarbeiter im Massengeschäft, dem Verantwortlichen konkrete Vorgaben zur Darstellung/ Übermittlung der Weisung machen, wie z.B. die zwingende Nutzung eines bestimmten Formularblatts oder Meldekanals? Die Erfahrung in der Praxis zeigt, dass eine telefonisch oder elektronisch gegenüber Beschäftigten des Vertragspartners erklärte Weisung, z.B. gegenüber dem Kundensupport, häufig nicht mit der notwendigen Beachtung behandelt und dokumentiert werden mag. Die beabsichtigte Weisung droht dann ggf. ins Leere zu laufen, wenn nicht eine spezielle Anlaufstelle (etwa per E-Mail an ein dafür vorgesehenes Funktionspostfach) oder eine bestimmte Form der Übermittlung (etwa durch ein Formular) vertraglich fixiert sind. Ohnehin dürfte eine dergestalt offen und unspezifisch kommunizierte Weisung wegen des ggf. dann kollidierenden Direktionsrechts im Arbeitsverhältnis kritisch zu werten sein.[38] Wird hingegen die Weisung ausschließlich an die Geschäftsleitung adressiert, kann dies zu Verzögerungen in der Wahrnehmung und Umsetzung durch die jeweiligen operativen Bereiche im Unternehmen[39] führen. Es besteht gar die Gefahr, dass die auf diesem Wege übermittelten Weisungen in Unkenntnis der konkret für die Verarbeitung relevanten Einzelheiten durch die Geschäftsleitung fälschlicherweise abgelehnt bzw. zurückgewiesen werden.
Ein für jede Weisung zu ergänzender/abzuändernder Annex zum Vertrag hingegen wäre zwar deutlich rechtssicherer, aber von weiteren Nachteilen geprägt. Mitunter wäre ein solches Konstrukt in der praktischen Handhabung gleichsam zeitintensiv und aufwendig. Insbesondere bei Weisungen, die Absprachen bzw. Mitwirkungsanfragen bei der Prüfung von Datenschutzvorfällen im Sinne von Art. 33 DS-GVO betreffen, können weitere haftungsbegründende Risiken zu Tage treten. Bedürfte es hierzu einer konkreten Weisung, wäre diese mutmaßlich zu langsam für die Meldefrist gegenüber der Aufsichtsbehörde und daher nicht ratsam. Und ein solcher Vertragsanhang dürfte dann auch nur von vertretungsberechtigten Personen unterzeichnet bzw. geändert werden, was ebenso schnelle Abstimmungen hemmen kann.
Je nach Überlegenheit einer Partei droht daher das Instrument der Weisung durch den Verantwortlichen eingeschränkt zu werden, wäre dieses an allzu hohe Hürden geknüpft. Entsprechende Ausgestaltungen des AV-Vertrages, die Weisungen von strengen Vorgaben anhängig zu machen, könnten eine unangemessene Benachteiligung des Verantwortlichen im Sinne von § 307 Abs. 2 BGB darstellen und daher für unzulässig befunden werden. Gleichwohl dürfte eine konkrete Festlegung von Weisungen für alle Parteien am rechtssichersten sein. Als ausreichend erachtet wird jedenfalls die Dokumentation auf Seiten des Auftragsverarbeiters;[40] auch um nicht eine eigene Verantwortlichkeit (nach Art. 28 Abs. 10 DS-GVO) durch ein Abweichen von den vertraglichen Vereinbarungen und den Weisungen des Verantwortlichen zu begründen.[41] Denn insgesamt drohen als Folgen etwaiger Unklarheiten neben den Beweisproblemen unter Umständen auch unvorhersehbare Kosten sowie Sanktionen der Aufsichtsbehörden bzw. Schadensersatz nach Art 82 DS-GVO.[42]
IV. Auftragskontrolle des Datenschutzbeauftragten
In Art. 28 Abs. 3 S. 2 lit. h) DS-GVO sind die Kontrollrechte des Verantwortlichen geregelt,[43] die entweder von ihm selbst oder „einem anderen von diesem beauftragten Prüfer“ durchgeführt werden. Es steht zur Diskussion, ob sich hieraus eine sog. Auftragskontrolle des Datenschutzbeauftragten (DSB) ergibt, falls dieser als ein solcher „Prüfer“ gilt. Es stellt sich insbesondere die Frage, ob er bereits von Amts wegen vorab den Auftragsverarbeiter zu kontrollieren hat.
Legt man den Wortlaut dieser Norm zu Grunde, handelt es sich hierbei um einen „beauftragten“ Prüfer. Da der DSB ohnehin von Gesetzes wegen nach Art. 39 DS-GVO seine Aufgabe wahrzunehmen hat und überdies „benannt“ werden muss, erscheint die Formulierung „beauftragter Prüfer“ hier auf eine andere Person abzuzielen. Ferner spricht die DSGVO ganz explizit an vielen Stellen vom „Datenschutzbeauftragten“ (z.B. in Art. 13 Abs. 1 lit. b) oder in Art. 30 Abs. 1 S. 1 lit. a)), womit dieses Amt bzw. dessen Funktion eindeutig einbezogen wird. Der Begriff des „Prüfers“ wird hingegen nicht näher definiert und mutmaßlich in anderen Rechtsvorschriften anders interpretiert.
Anforderungen, welche an die Kontrolle der Auftragsverarbeiter gestellt werden, können aus unterschiedlichen Richtungen formuliert sein. So sehen bspw. einige Standards und Prüfkataloge der Wirtschaftsprüfer (IDW) Fragen zur Einhaltung des Datenschutzes vor. Auch aus Richtung des Qualitätsmanagements (ISO 9001) im Unternehmen und erst recht durch Compliance-Abteilungen werden mitunter Prüfungen vorgenommen. Eine Person, die also allgemein – in einer noch zu bestimmenden Art und Weise – auf Seiten des Verantwortlichen prüfend tätig wird, kann daher verschiedene Aufgaben mit Bezug zum Datenschutz wahrnehmen. Vom Verständnis her ist diese Funktion also zunächst im Vergleich weiter gefasst, so dass hierzu möglicherweise auch, aber nicht nur der DSB zählen mag.
Immerhin sind dessen Aufgaben konkret in Art. 39 DSGVO ausgestaltet, die auch die „Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters“ (Art. 39 Abs. 1 lit. a) DS-GVO) sowie die „Überwachung der Einhaltung dieser Verordnung“ (Art. 39 Abs. 1 lit. b) DS-GVO) vorsehen. Unter diesem relativ weit gefassten Regelungsgehalt und den damit einhergehenden Befugnissen lassen sich auch Kontrollen von Auftragsverarbeitern subsumieren. Dennoch stellt sich die Frage, ob dies zum Kreis an originären Aufgaben für den DSB gehört. Immer vorausgesetzt, die Person verfügt über das notwendige Fachwissen, insbesondere zur IT-Sicherheit, sowie die erforderliche Zeit (gerade für den internen „Teilzeit-DSB“ eine Herausforderung) oder die tatsächliche Zugriffsmöglichkeit (möglicherweise bei großen und/oder internationalen Dienstleistern ein Problem), lässt sich eine derartige Obliegenheit nicht per se ausschließen.
Es könnte zusätzlich argumentiert werden, dass die „Überwachung der Einhaltung der Verordnung“ auf Seiten des Verantwortlichen umso mehr und unmittelbar der Auftragsverarbeitung gilt, als in diesem Fall die „eigenen“ Daten bei einem externen Dienstleister verarbeitet werden. Diesen zu überwachen, stellt in der Regel aufgrund der mangelnden Vertrautheit mit der konkreten Umgebung der Verarbeitung eine größere Herausforderung dar, als wäre lediglich die eigene Sphäre beim Verantwortlichen betroffen. Daher mögen erhöhte Anforderungen an diese Kontrolle zu stellen sein, derer sich ein hierfür ausgewählter Experte bedienen sollte.
Zunächst liegt es nahe, dass der DSB auch ein Prüfer im Sinne von Art. 28 Abs. 3 S. 2 lit. h) DS-GVO sein kann, obwohl hier gewissermaßen ein Interessenkonflikt droht, indem der DSB diese Kontrollen nicht als unabhängiges Organ wahrnimmt, sondern in der Realität im Lager des Verantwortlichen steht und dadurch ggf. „interessengesteuert“ agieren könnte. Ähnlich wie auch bei einer Vertragsverhandlung lässt sich nicht verheimlichen, dass der DSB tendenziell mittelbar zu Gunsten „seiner“ Firma handelt. Würde er also durch selbstständiges Kontrollieren des Auftragsverarbeiters direkt einen Teil der Aufgaben des Verantwortlichen übernehmen, käme seine Überwachungsfunktion einer Situation gleich, in der er seine eigene Arbeit kontrollieren würde.
Ferner muss der DSB gem. Art 38, 39 DS-GVO weisungsfrei und objektiv in seiner Rolle agieren, wird daher gerade nicht zur Prüfung zusätzlich erst „beauftragt“, wie es aber der Wortlaut in Art. 28 Abs. 3 S. 2 lit. h) DS-GVO nahelegt. So kann der jeweiligen Beauftragung im Allgemeinen – mangels entgegenstehender zwingender Vorgaben – auch die Festlegung oder Beschränkung auf einzelne Bestandteile der zu prüfenden Verarbeitungstätigkeit innewohnen. Es ist beispielsweise denkbar, dass der Verantwortliche besonderes Augenmerk auf eine starke Zutrittskontrolle (zur Absicherung des Gebäudes nach außen hin) legt, diese daher entsprechend umfangreich geprüft haben möchte, und demgegenüber jedoch die Verfügbarkeit von Daten (etwa das Bestehen von Backups betreffend) nur marginal und vergleichsweise oberflächlich betrachtet – oder auch umgekehrt. Wie dem auch sei: In einer solchen Konstellation wird eine auf die konkrete Tätigkeit gerichtete Abhängigkeit vom Auftraggeber deutlich, was jedoch im klaren Widerspruch zur ausgiebig definierten, weitgehende Unabhängigkeit mahnende Rolle des DSB steht. Immerhin ist sicherzustellen, dass „der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält“ (Art. 38 Abs. 3 S. 1 DS-GVO), was den drohenden Konflikt im Falle der Wahrnehmung der Funktion als „beauftragten Prüfer“ untermauern dürfte.
Wegen der Zielrichtung dieser Vorschrift dürfte vieles dagegensprechen, dass der DSB die Rolle des Prüfers gegenüber dem Auftragsverarbeiter wahrnimmt. Überdies trifft die Pflicht zur Kontrolle und Auswahl des geeigneten Auftragsverarbeiters nur den Verantwortlichen (Art. 28 Abs. 1 DSGVO) und ist als solche auch Bestandteil von dessen Rechenschaftspflicht aus Art. 5 Abs. 2 DS-GVO. All jenes wird vom bestellten DSB lediglich überwacht – jedoch gerade, ohne eigenständig operativ tätig zu werden.
V. Neue EU-Standardvertragsklauseln
Mit Beschluss vom 4. Juni 2021[44] hat die Europäische Kommission erstmalig von der in Art. 28 Abs. 7 DS-GVO niedergelegten Möglichkeit Gebrauch gemacht, einen eigenen „AV-Mustervertrag“ in Form entsprechender Standardvertragsklauseln zu erlassen. Ob dadurch schlichtweg die Anzahl an für die Öffentlichkeit verfügbaren Mustern – und aus Sicht mancher Anwender vielleicht ein Stück rechtlicher Beliebigkeit – steigt, oder ob dies zu mehr rechtlicher Verbindlichkeit in der Praxis sorgen wird, bleibt dabei zu beobachten.
Was die inhaltliche Ausgestaltung betrifft, so werden sich womöglich einige der in dem vorliegenden Beitrag (und seinem Vorgänger-Teil[45]) angestellten Erwägungen auf das neue EU-Vertragswerk übertragen lassen. Auf der anderen Seite wird es sicher auch neue oder geänderte Streitfragen geben, die mit den aufgestellten Regelungen einhergehen mögen. Insofern wird zukünftig noch zu untersuchen sein, welchen Einfluss die Gestaltung der neuen EU-Standardvertragsklauseln auf die hier vorgenommene Bewertung nehmen wird und inwiefern Abweichungen überhaupt zulässig sind.
VI. Fazit
Viele Fragen, die sich letztlich für beide Seiten des AVVertrages stellen, dürften durch belegbare Dokumentation im Rahmen der datenschutzrechtlichen Rechenschaftspflicht (Art. 5 Abs. 2 DS-GVO) beantwortet werden können, andernfalls Unklarheiten zu haftungsrechtlichen Lasten der jeweils handelnden Akteure gehen. Den Vertragsparteien sollte daher vieles an einer möglichst beweissicheren Dokumentation und dem Abfassen von klaren Regelungen gelegen sein. Dies betrifft sowohl die Einbeziehung externer Quellen (wie für den Verweis auf TOMs oder zur Benennung von Unter-Auftragsverarbeitern) als auch das Vereinbaren von Weisungen und Meldewegen.
Vieles ist jedoch nach wie vor unklar: Die praktisch bedeutsame Überlegung, ob der Datenschutzbeauftragte Kontrollen beim Auftragsverarbeiter durchführen darf, gehört mit dazu und wird vorliegend im Ergebnis zurückhaltend bewertet. Diese und weitere Fragen, so auch die Zulässigkeit von Haftungsausschlüssen bei der Geltendmachung von Schadenersatzansprüchen betreffend, werden zunehmend sicher auch durch die Rechtsprechung thematisiert werden.
* Wie bereits im ersten Teil (Conrad/Seiter, RDV 2021, 186) dieser Beitragsreihe ausführlich besprochen, sind der Ausgestaltung von Auftragsverarbeitungs-Verträgen (AV-Verträgen) nach Art. 28 DS-GVO in der Praxis trotz Vertragsfreiheit der Parteien gewisse Grenzen gesetzt. Diese können sich zum einen aus der AGB-Kontrolle gem. §§ 305 ff. BGB ergeben. Doch auch aus der Deutung der DS-GVO lassen sich mittelbare Vorgaben bei der Anwendung des Rechts ableiten, die es zu berücksichtigen gilt.
Conrad SebastianConrad Senior Berater Datenschutz bei der datenschutz nord GmbH, Büro Hamburg
Stefan R. Seiter Rechtsanwalt und Senior Berater Datenschutz bei der datenschutz nord GmbH, Büro Bremen
[1] Vgl. Bleckat, RDV 2020, 11
[2] Siehe Frenzel, in: Paal/Pauly, DS-GVO BDSG, 3. Aufl. 2021, Art. 82 Rn. 15; Gola, in: Gola, DS-GVO Art. 82 Rn. 15.
[3] Siehe Boehm, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Aufl. 2019, Art. 82 Rn. 35
[4] Siehe Albrecht/Jotzo, Das neue Datenschutzrecht der EU, Rn. 22.
[5] Siehe Piltz, in: Gola, Datenschutz-Grundverordnung, 2. Aufl. 2018, DSGVO, Art. 82 Rn. 9
[6] Bergt, in: Kühling/Buchner, DS-GVO BDSG, 3. Aufl. 2020, Art. 82 Rn. 49.
[7] Siehe Spiecker, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Aufl. 2019, DS-GVO Art. 82 Rn. 25
[8] Siehe Schefzig, in: Taeger/Gabel/DS-GVO BDSG, 3. Aufl. 2019, Art. 82 Rn. 53 f
[9] Siehe Schefzig, in: Taeger/Gabel/Moos, ebenda.
[10] Siehe Spindler/Horváth, in: Spindler/Schuster, DS-GVO, Art. 82 Rn. 11.
[11] EuGH, Urteil vom 13.07.2006, C-295/04 (Manfredi)
[12] Vgl. dazu auch die ErwG 148 und 150 der DS-GVO.
[13] Vgl. Ulmer/Schäfer, in: Ulmer/Brandner/Hensen, ErwG. 148 und 150 der DSGVO AGB-Recht, 12. Aufl. 2016, § 305c BGB Rn. 48.
[14] Siehe Grüneberg, in: Palandt, Bürgerliches Gesetzbuch, § 305c Rn. 4
[15] Siehe Schefzig, in: Taeger/Gabel DS-GVO BDSG, 3. Aufl. 2019, Art. 82 Rn. 56.
[16] Siehe oben 2.b.
[17] Siehe Haumann, DSRITB 2020, 101, 102.
[18] Siehe Frenzel, in: Paal/Pauly, DS-GVO BDSG, 3. Aufl. 2021, Art. 82 Rn. 15.
[19] Siehe Conrad, in: Auer-Reinsdorff/Conrad, Handbuch IT- und Datenschutzrecht, 3. Aufl. 2019, Rn.706; Schefzig, in: Taeger/Gabel/Moos, DS-GVO, Art. 82 Rn. 22.
[20] Vgl. Nemitz, in: Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Art. 82 Rn. 28.
[21] So auch Haumann, DSRITB 2020, 101, 107.
[22] Vgl. Martini, in: Paal/Pauly, DS-GVO BDSG, 3. Aufl. 2021, Art. 28 Rn. 45.
[23] Bertermann, in: Ehmann/Selmayr, Datenschutz-Grundverordnung, 2. Aufl. 2018, Art. 28 Rn. 25; Vgl. Martini, in: Paal/Pauly, DS-GVO BDSG, 3. Aufl. 2021, Art. 28 Rn. 45.
[24] Vgl. hierzu: Gabel/Lutz, in: Taeger/Gabel, DS-GVO BDSG, 3. Aufl. 2019, Art. 28 Rn. 51
[25] Zum Wortlaut und dem alten Recht aus § 11 Abs. 2 S. 1 BDSG a.F.: Hartung, in: Kühling/Buchner, DS-GVO BDSG, 3. Aufl. 2020, Art. 28 Rn. 57; Gabel/Lutz, in: Taeger/Gabel, DS-GVO BDSG, 3. Aufl. 2019, Art. 28 Rn. 51.
[26] Mehr hierzu: Conrad/Seiter, RDV 2021, 186, 189 ff.
[27] Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Aufl. 2019, Art. 28 Rn. 68.
[28] Hartung, in: Kühling/Buchner, DS-GVO BDSG, 3. Aufl. 2020, Art. 28 Rn. 58; Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Aufl. 2019, Art. 28 Rn. 68; Gabel/Lutz, in: Taeger/ Gabel, DS-GVO BDSG, 3. Aufl. 2019, Art. 28 Rn. 51.
[29] Conrad/Seiter, RDV 2021, 186, 189.
[30] Vgl. Hartung, in: Kühling/Buchner, DS-GVO BDSG, 3. Aufl. 2020, Art. 28 Rn. 73.
[31] Conrad/Seiter, RDV 2021, 186, 191; vgl. Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Aufl. 2019, Art. 28 Rn. 85.
[32] Vgl. Klug, in: Gola, Datenschutz-Grundverordnung, 2. Aufl. 2018, Art. 28 Rn. 13; Martini, in: Paal/Pauly, DS-GVO BDSG, 3. Aufl. 2021, Art. 28 Rn. 60 ff.
[33] Siehe EuGH v. 16.07.2021 – C-311/18; mehr hierzu: Eichmann/Nowak, RDV 2021, 194, 194 ff.
[34] Zur Reichweite der Kontrollmöglichkeiten: Conrad/Seiter, RDV 2021, 186, 191.
[35] Siehe oben 3.a
[36] Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Aufl. 2019, Art. 28 Rn. 59.
[37] Vgl. Spoerr, in: Wolff/Brink, BeckOK Datenschutzrecht, 37. Ed. 2021, Art. 28 DS-GVO, Rn. 59.
[38] Gabel/Lutz, in: Taeger/Gabel, DS-GVO BDSG, 3. Aufl. 2019, Art. 28 Rn. 45.
[39] Abgesehen von kleinen inhabergeführten Betrieben dürfte die Geschäftsführung in den seltensten Fällen unmittelbar in die alltäglichen Entscheidungsabläufe im Rahmen der Auftragsverarbeitung einbezogen sein.
[40] Gabel/Lutz, in: Taeger/Gabel, DS-GVO BDSG, 3. Aufl. 2019, Art. 28 Rn. 44; vgl. Spoerr, in: Wolff/Brink, BeckOK Datenschutzrecht, 37. Ed. 2021, Art. 28 DS-GVO, Rn. 59.
[41] Hartung, in: Kühling/Buchner, DS-GVO BDSG, 3. Aufl. 2020, Art. 28 DSGVO Rn. 33.
[42] Vgl. Hartung, in: Kühling/Buchner, DS-GVO BDSG, 3. Aufl. 2020, Art. 28 DS-GVO Rn. 33.
[43] Conrad/Seiter, RDV 2021, 186, 189 ff.
[44] Siehe https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX: 32021D0915&from=DE.
[45] Conrad/Seiter, RDV 2021, 186.