skip to Main Content

Gierig, gierig – Auftragsverarbeiter wollen erst mit Extra-Bezahlung Datenschutz einhalten

Unternehmen setzen oftmals Dienstleister ein (z.B. IT-Dienstleister, Fachentsorger, etc.), die personenbezogene Daten im Auftrag für den Verantwortlichen verarbeiten und dabei nur weisungsgebunden mit diesen Daten umgehen dürfen.

 

Zur Absicherung dieser Auftragsverarbeitung muss zwischen dem Unternehmen (Verantwortlicher) und dem Dienstleister (Auftragsverarbeiter) ein Vertrag zur Auftragsverarbeitung abgeschlossen werden. Dieser Vertrag muss den Vorgaben von Art. 28 Abs. 3 DSGVO entsprechen. U.a. müssen die Unterstützungspflichten des Dienstleisters gegenüber dem Verantwortlichen dort geregelt sein:

 

  • Unterstützung bei der Erfüllung der Informationspflichten aus Art. 13, 14 DSGVO.
  • Unterstützung bei der Wahrung der Rechte der betroffenen Personen aus Art. 15 ff DSGVO
  • Unverzügliche Mitteilung, wenn eine Weisung des Auftraggebers gegen DSGVO oder sonstige Datenschutzbestimmungen verstößt
  • Unverzügliche Mitteilung einer Datenschutzverletzung
  • Unterstützung bei Melde- und Benachrichtigungspflichten aus Art. 33, 34 DSGVO.
  • Unterstützung bei einer Datenschutz-Folgenabschätzung aus Art. 35 DSGVO.
  • Ermöglichen von Kontrollen (auch vor Ort)

 

Die meisten Dienstleister stellen eine entsprechende Vertragsvorlage bereits von sich aus zur Verfügung. Häufig enthalten diese Vertragsmuster jedoch Klauseln, in denen der Dienstleister dem Verantwortlichen Unterstützungsleistungen im Bereich Datenschutz in Rechnung stellt. Als ob man in einem Restaurant einen Aufpreis zahlen müsste, wenn man das Essen nach Hygiene-Vorschriften zubereitet haben möchte!

 

Der Bayerische Landesbeauftrage für den Datenschutz hat daher nun klargestellt, dass Verantwortliche „darauf achten [sollten], dass sie sich für die Ausübung ihrer gesetzlichen Kontrollrechte nicht zu einem besonderen Entgelt verpflichten lassen“. Denn solche Extra-Kosten würden den Verantwortlichen an der Ausübung seiner datenschutzrechtlichen Pflichten und damit einhergehenden Rechte gegenüber dem Dienstleister „entgegenwirken“ und „abschreckende Wirkung entfalten.“

 

Dienstleister sollten also zukünftig auf solche Klauseln verzichten, wenn sie nicht möchten, dass der Schutzzweck des Art. 28 DSGVO ausgehebelt wird. Denn auch sie haben mit Sanktionen zu rechnen, wenn ein Vertrag zur Auftragsverarbeitung nicht ordnungsgemäß abgeschlossen wurde.

 

 

S. Kieselmann

 

Beraterin für Datenschutz

 

Dipl.sc.pol.Univ.

Back To Top