Verschiedene deutsche Datenschutz-Aufsichtsbehörden prüfen koordiniert die Auftragsverarbeitungsverträge von Webhostern. Dafür haben sie eine Checkliste zur Prüfung von Auftragsverarbeitungsverträgen abgestimmt und veröffentlicht. Die Checkliste listet das AVV-Prüfprogramm jeweils unter Angabe der zu Grunde liegenden Norm auf. Eine Vielzahl zulässiger und unzulässiger Formulierungen zum Ankreuzen in zwei Spalten erleichtert die AVV-Prüfung enorm.
Die Checkliste konzentriert sich auf den Auftragsverarbeitungsvertrag als solchen. Fragen der Zuverlässigkeit und Auswahl des Auftragsverarbeiters (Art. 28 Abs. 1 DSGVO) oder konkrete technische und organisatorische Maßnahmen (Art. 24, 25, 32 DSGVO) behandelt sie ebensowenig wie ergänzende Schutzmaßnahmen für Datenexporte (Art. 44 ff. DSGVO – hierzu siehe die EDSA-Empfehlungen 01/2020).
Dafür sind die Anforderungen an den Vertrag strukturiert aufgearbeitet. Insbesondere die Vielzahl unzulässiger Formulierungen, die sich aus jahrelanger anwaltlicher und aufsichtsbehördlicher Erfahrung speist, lenkt das Augenmerk schnell auf Gesetzesverstöße. Ein weiterer Vorteil: Die Wertung bestimmter Klauseln als zulässig oder unzulässig ist zwischen den Aufsichtsbehörden abgestimmt.
Die Praxis kann nun schwarz auf weiß lesen, dass so manche Gestaltung nicht den gesetzlichen Anforderungen entspricht:
- Der Verweis des AVV auf weitere Unterlagen oder Vertragswerke ist zwar an sich zulässig – führt dann aber auch zur Formbedürftigkeit dieser weiteren Unterlagen und Vertragswerke.
- Weisungsrechte werden gelegentlich beschränkt auf das, was im Vertrag vereinbart ist (meist nichts) und ansonsten einem Change-Request-Verfahren unterworfen. Ob bestimmte Weisungen im Vertrag vorgesehen sind, kann aber nur Auswirkungen auf die Frage haben, ob die Ausführung der Weisung eine zusätzliche Vergütung auslösen kann – nicht auf die Frage, ob sie überhaupt ausgeführt werden muss.
- Wenn alle Leistungen wie Unterstützung bei Datenpannen, bei der Beantwortung von Betroffenenrechten oder die Ermöglichung von Kontrollen kostenpflichtig gemacht werden, ohne dass etwa der Fall ausgeschlossen ist, dass diese Leistungen durch einen Gesetzes- oder Vertragsverstoß des Auftragsverarbeiters erforderlich wurden, wird die Einhaltung der datenschutzrechtlichen Verpflichtungen gefährdet. So wird eine zunächst rein wirtschaftliche Frage zum Datenschutz-Problem.
- Und natürlich sind zu strikte vertragliche Vertraulichkeitsverpflichtungen, die auch eine Offenlegung von Informationen gegenüber der Aufsichtsbehörde oder betroffenen Personen ausschließen, tödlich im Hinblick auf die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO (der bekanntlich auch eine Beweislastregel enthält – hierzu vgl. EuGH, Urt. v. 24.2.2022 – C-175/20, Rn. 77, 81; BVerwG, Urt. v. 2.3.2022 – 6 C 7.20, Rn. 50).
Das ist zwar alles logisch, wenn man das Gesetz liest und etwas drüber nachdenkt, aber nicht immer offensichtlich. Aber auch offensichtliche Verstöße, vor denen die Praxis viel zu oft die Augen verschließt, werden klar benannt:
- Wenn nicht klar definiert ist, welche Verarbeitungen der AVV abdecken soll, kann niemand erkennen, ob eine bestimmte Verarbeitung nun Auftragsverarbeitung ist oder ein Exzess des Auftragsverarbeiters.
- Wenn einem Auftragsverarbeiter die Verarbeitung der eigentlich im Auftrag verarbeiteten Daten zu eigenen Zwecken erlaubt wird, ist das keine Auftragsverarbeitung mehr.
- Weisungswidrige Verarbeitungen erlaubt die DSGVO nur auf Basis von Unions- oder mitgliedstaatlichem Recht, nicht auch auf Basis von drittstaatlichem Recht – im Hinblick auf FISA 702 und Ähnliches ein riesiges Problem für US-Unternehmen und deren europäische Tochtergesellschaften, die oft genug zum Gesetzesverstoß nicht auch noch einen Vertragsverstoß hinzufügen wollen.
- Ob die Auftragsdaten nach Ende der Verarbeitung gelöscht oder zurückgegeben werden, muss der Auftraggeber entscheiden, nicht der Auftragnehmer.
- Kontrollrechte vor Ort bleiben teils komplett ungeregelt, werden teils durch Einsicht in Unterlagen ersetzt, werden teils auf sonstige abenteuerliche Weise eingeschränkt. Dabei ist nach dem Gesetz klar: Das Kontrollrecht ist umfassend – der Auftragsverarbeiter muss halt so gute Unterlagen und Prüfberichte vertrauenswürdiger Dritter bereitstellen, dass kein Verantwortlicher den Bedarf einer eigenen Kontrolle sieht.
- Der Anbieter räumt sich zu freie Hand beim Einsatz von Subunternehmern ein.
Wer AV-Verträge gegenprüft, sollte sich daher die Checkliste zu Herzen nehmen. Und noch dringender sollten das diejenigen tun, die AV-Verträge für die Anbieter erstellen: Denn dass diese Verträge oftmals grob rechtswidrig sind, war schließlich der Auslöser der Prüf-Aktion.
Transparenzhinweis: Der Autor hat die Checkliste entwickelt und leitet die Arbeitsgruppe, die die Prüfung der AV-Verträge koordiniert.