Vergütungspflicht für Hilfeleistungen (z.B. Kontrollen/Betroffenenrechte) in AVV wirksam?

Die Unterstützung des Auftragsverarbeiters bei der Erfüllung der Betroffenenrechte des Verantwortlichen (vgl. Art. 12-22 DSGVO) wie beispielweise das Recht auf Berichtigung (Art. 16 DSGVO) oder das Recht auf Löschung (Art. 17 DSGVO) der personenbezogenen Daten kann für den Auftragsverarbeiter zu Kosten und Aufwendungen führen. Weitere Kosten können auch bei der Ausübung der Kontrollrechte durch den Verantwortlichen z.B.  in Form von Vor-Ort Inspektionen entstehen.

Mit dem folgenden Beitrag möchten wir Sie als Auftragsnehmer oder Auftraggeber über die rechtlichen Gestaltungsmöglichkeiten einer Vergütungspflicht für Hilfeleistungen in einer Auftragsverarbeitungsvereinbarung aufklären.

Bei der Frage ob ein Auftragsverarbeiter eine Vergütung für Unterstützungsleistungen zur Erfüllung der Betroffenenrechte und Ausübung der Kontrollrechte verlangen kann, muss immer im Einzelfall entschieden werden. In Art. 28 DSGVO als auch in dem dazugehörigen Erwägungsgrund (Erwägungsgrund 81) ist eine Entgeltforderung weder ausgeschlossen noch explizit erlaubt worden.

Die Höhe der Vergütung des Auftragsverarbeiters darf nicht unverhältnismäßig hoch ausfallen. Es muss abgewogen werden, ob der Verantwortliche seine datenschutzrechtlichen Kontrollrechte wahrnehmen kann oder diese bei einer zu hohen Vergütung faktisch unmöglich wahrzunehmen sind.

In der Praxis sollte diese Fragestellung bereits beim Abschluss des Vertrages zur Hauptleistung geklärt und eine pauschalisierte Vergütung für den Auftragsverarbeiter eingepreist werden. Dies führt aus Sicht des Auftragsgebers dazu, dass die Vergütung im Laufe des Auftragsverhältnisses nicht unverhältnismäßig hoch ausfallen kann und aus Sicht des Auftragsverarbeiters werden seine Kosten und Aufwendungen angemessen vergütet.

Rechtliche Würdigung im Einzelnen

Wenn Unternehmen als Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO personenbezogene Daten erheben und verarbeiten, werden in der Praxis oftmals externe Dienstleister wie z.B. Cloud-Anbieter eingesetzt, um die Daten im Auftrag des Verantwortlichen zu verarbeiten.

Damit externe Dienstleister als sog. Auftragsverarbeiter nach Art. 28 DSGVO eingesetzt werden können, muss ein Auftragsverarbeitungsvertrag (AVV) zwischen den Parteien abgeschlossen werden, welcher ein Auftragsverarbeitungsverhältnis begründet. Dieses legt Rechte und Pflichten fest, die sowohl vom Auftraggeber als auch vom Auftragsverarbeiter zwingend eingehalten werden müssen.

Die Regelungen in Art. 28 Abs. 3 lit. e) und h) DSGVO verpflichten den Auftragsverarbeiter, den Auftraggeber nach Möglichkeit mit technischen und organisatorischen Maßnahmen bei der Erfüllung von Betroffenenrechte (Art. 12 bis 22 DSGVO) zu unterstützen. Zudem sieht der Gesetzgeber das aktive Mitwirken an einer Überprüfung seiner selbst z.B. in Form von Vor-Ort Inspektionen durch den Verantwortlichen (Art. 28 Abs. 3 lit. h DSGVO) vor.

BayLfD äußert sich zu Kosten für Inspektionen und Überprüfungen

Der Bayerische Landesbeauftragte für den Datenschutz hat sich zu der Vergütungspflicht nach Art. 28 Abs. 3 lit. h) wie folgt geäußert:

Ein gesondertes Entgelt würde einer Ausübung der Kontrollrechte entgegenwirken. Die Vereinbarung eines Entgelts, einer Aufwandsentschädigung oder eines sonstigen Kostenbeitrags, auch die Vereinbarung, hierzu im Bedarfsfall nachträglich eine die Auftragsverarbeitungs-Vereinbarung ergänzende Regelung zu treffen, führt dazu, dass eine Inspektion beim Auftragsverarbeiter als etwas Außergewöhnliches wahrgenommen wird, das dem Auftraggeber eigentlich nicht zusteht und gerade deshalb außerhalb der wechselseitigen Austauschbeziehung zu vergüten ist.

Somit ist der Bayerische Landesbeauftragte der Auffassung, dass die Gewährleistung der Kontrollrechte des Auftraggebers aus datenschutzrechtlicher Sicht nicht von einer besonderen Vergütung bzw. eines besonderen Entgeltes abhängig gemacht werden darf.  Ein besonderes Entgelt würde so im Einzelfall die Ausübung der Kontrollrechte faktisch behindern und könnte zudem in dessen Höhe abschreckende Wirkung entfalten. Dies hat zur Folge, dass Auftraggeber mit limitierten finanziellen Mitteln möglicherweise ihre Kontrollrechte gar nicht in Anspruch nehmen können. So sollten Verantwortliche nach der Empfehlung der bayerischen Behörde in der Gestaltung des Auftragsverarbeitungsvertrages von einem besonderen Entgelt absehen.

Aus Sicht des Auftragsverarbeiter könnte eine Vergütungspflicht für Hilfeleistungen für die Wahrnehmung der Kontrollpflichten jedoch in seinem Interesse sein. Durch die zeitlich andauernde Verpflichtung zu Hilfeleistungen muss viel Zeit und Personal auf der Seite des Auftragsverarbeiters aufgewendet werden. Bei Vor-Ort-Inspektionen müssen Angestellte für den Verantwortlichen zur Verfügung stehen. Die Angestellten müssen offene Fragen zur Einhaltung der datenschutzrechtlichen Anforderungen beantworten, womit diese bei der wirtschaftlichen Tätigkeit des Unternehmens fehlen.

Als Lösungsvorschlag sieht der BayLfD vor, dass der Auftragsverarbeiter die ihm durch Vor-Ort Inspektionen entstehenden Kosten und Mehraufwände pauschal in das Angebot der vertraglichen Hauptleistung einbezieht („Einpreisung“).

Ergänzend kommen dabei noch vertragliche Bestimmungen in Betracht, dass Vor-Ort-Inspektionen mit einer bestimmten Frist anzukündigen sind und anlasslose Inspektionen ohne wirklichen Verdacht auf eine Verletzung der datenschutzrechtlichen Anforderungen auf Ihre Anzahl beschränkt sind. Das BayLDA untermauert diese Überlegung mit Ihrer Antwort zur Frage ob ein Auftragsverarbeiter den Aufwand, der für ihn durch Vor-Ort-Prüfung durch das Zur-Verfügungsstellen von Personal entsteht, dem Auftraggeber in Rechnung stellen darf:

Das ist keine datenschutzrechtliche, sondern eine zivilrechtliche Streitfrage zur Auslegung eines Vertrags für nicht konkret geregelte Sachverhalte (Kernfrage: Was ist dem Auftragnehmer an Aufwand entschädigungslos zumutbar, damit der Auftraggeber seine Kontrollpflichten erfüllen kann, und ab wann besteht ein unzumutbarer Aufwand, für den der Auftragnehmer einen angemessenen Aufwand-Ersatz verlangen kann?). Am besten ist natürlich eine Festlegung im Vertrag dazu.

Die Auffassung des BayLDA unterstützt hier das Prinzip der Vertragsfreiheit und empfiehlt eine genaue Konkretisierung zur Kostenteilung im Vertrag zur Hauptleistung. In der Praxis ist jedoch zu beachten, dass eine Klausel mit einem zu überhöhten Entgelt für die Gewährleistung der Kontrollrechte als unzulässig erklärt werden kann.

Ein überhöhtes Entgelt erklärt der BaylfD wie folgt:

Ein eindeutig überhöhtes Entgelt kann insbesondere darauf beruhen, dass der tatsächliche Aufwand beim Auftragsverarbeiter zu den vereinbarten Kosten oder Gebühren in einem grob unangemessenen Verhältnis steht (so etwa bei “Phantasiepreisen” für den Einsatz personeller oder sachlicher Ressourcen oder bei der “Erfindung” von Kontrollgebühren, denen der Auftragsverarbeiter einen Aufwand nicht plausibel zuordnen kann).

Die Parteien sollten nach dem Grundsatz von Treu und Glauben zusammenarbeiten. Klauseln, welche die Zahlung von eindeutig unangemessenen/unverhältnismäßigen hohen Kosten und Aufwendungen als Gegenstand haben, können nicht wirksam vereinbart werden. Eine solche Regelung würde dazu führen, dass die in Art. 28 Abs. 3 lit. h) DSGVO geregelten Rechte und Pflichten in der Praxis ausgehöhlt würden.

Kosten für sonstige Hilfeleistungen

Auch die Unterstützung des Auftragsverarbeiters bei Erfüllung der Betroffenenrechte (Art. 12-22 DSGVO) können Auftragsnehmer nach dem BayLfD von der Zahlung einer besonderen Vergütung gemäß Art. 28 Abs. 3 lit. e) abhängig machen.

Durch eine etwaige kostenlose Gewährleistung der Hilfeleistungen besteht die Gefahr, dass der Auftraggeber diese Leistung öfter und gegebenenfalls für weniger relevante Themen in Anspruch nimmt. Dies hat zur Folge, dass Kapazitäten beim Auftragsgeber  gebunden werden.  Durch die Verpflichtung einer Entgeltzahlung für Hilfeleistungen könnte sichergestellt werden, dass der Auftraggeber ihre Anfragen validieren und nur mit relevanten datenschutzrechtlichen Fragestellungen den Auftragsverarbeiter zur Hilfe auffordern. Ein Ersparnis der Kosten wäre folglich die Motivation der Auftraggeber Ihre Anfragen zu überdenken.

Ferner sollte die Vergütung lediglich den Aufwand des Auftragsverarbeiters für die Befriedigung der Betroffenen Rechte decken und eben nicht auf einen Gewinn abgezielt sein.

Hier empfiehlt es sich erneut keine Kostenklausel einzubauen, sondern die zukünftig entstehenden Kosten und Aufwendungen pauschal im Hauptvertrag zu benennen und regeln. In der Praxis sollte der Fokus auf die Interessen der beiden Parteien gelegt werden und im Einzelfall die Kostenentscheidung unter Berücksichtigung und Würdigung aller Umstände getroffen werden.

Haben Sie noch Fragen? Gerne unterstützen und beraten wir Sie bei der Gestaltung von Auftragsverarbeitungsverträgen sowie bei weiteren datenschutzrechtlichen Fragen. Sprechen Sie uns einfach an.

RA Sebastian Schwiering
Wissenschaftlicher Mitarbeiter Jamal Lale