Einheitliche Standards für die Prüfung von Auftragsverarbeitungsverträgen

Erstmals haben die deutschen Datenschutzbehörden einen gemeinsamen Standard zur Prüfung von Auftragsverarbeitungsverträgen (AVV) festgelegt. Die daraus resultierende Checkliste (Stand: 30.6.2022) wurde im Rahmen einer koordinierten Prüfung der AVV von Webhosting-Unternehmen und von den Datenschutzbehörden erstellt. Anlass waren nach einer Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) vom 19.7.2022 zahlreiche Anfragen von Verantwortlichen, die unsicher waren, ob deren Webhoster mit Art. 28 DSGVO konforme AVV verwenden. Vielfach ging es um das Webhosting von Online-Shops. Die BlnBDI weist jedoch darauf hin, dass die neuen Standards nicht nur für Webhosting-Konstellationen, sondern auch für die Prüfung in anderen Bereichen herangezogen werden können.

AVV-Checkliste: Was steht drin?

In der Checkliste sind nach einem Stichwortkatalog die entwickelten Anforderungen an den Auftragsverarbeitungsvertrag gemäß der DSGVO aufgearbeitet. Die gestellten Anforderungen erscheinen teils streng, in anderen Bereichen liefert die Checkliste dankenswerter Weise Aufschluss zu streitigen Themen. So wird klargestellt, dass ein AVV in Allgemeinen Geschäftsbedingungen (AGB) integriert sein kann. Des Weiteren müssen die technischen und organisatorischen Maßnahmen (TOM) nicht konkret im AVV selbst geregelt sein. Es genügt der Hinweis auf die Einhaltung der nach Art. 32 DSGVO erforderlichen Maßnahmen, wenn der Verantwortliche zuvor die Umsetzung der erforderlichen TOM geprüft hat. Auch Kostentragungsklauseln, die die Kosten einer Kontrolle im Verhältnis der Vertragsparteien dem Verantwortlichen auferlegen, sind nach der neuen Checkliste zulässig – es sei denn, ein Verstoß des Auftragsverarbeiters bietet Anlass zur Kontrolle.

In anderen Bereichen scheint die Checkliste jedoch die gesetzlichen Mindestanforderungen an AVV nach Art. 28 DSGVO zu übersteigen. Beachtlich ist, dass die deutschen Datenschutzbehörden in einigen Fällen Formulierungen der Standardvertragsklauseln für AVV mit Drittstaatbezug der EU-Kommission als nicht DSGVO-konform einstufen. Formulierungen, die auf diesen Standardvertragsklauseln beruhen, sollen aber vorerst nicht beanstandet werden. 

Neue Checkliste vermutlich künftig Grundlage für Prüfungen 

Im Ergebnis bleibt mit Blick auf die neue Checkliste ein Lichtblick: Die aus Behördensicht maßgeblichen Wertungen zu AVV sind jetzt zwischen vielen Aufsichtsbehörden abgestimmt. Das macht die Rechtslage für Verantwortliche wie Auftragsverarbeiter vorhersehbar.

Unternehmen sollten nun vorsorgen: Bei Verstößen gegen diese Anforderungen drohen Beschwerden und Gerichtsverfahren. Diese können zu Untersagungen sowie hohen Bußgeldern führen – und zwar sowohl für Verantwortliche als auch für Auftragsverarbeiter in Webhosting-Konstellationen oder anderen Vertragskonstellationen.

Ob die strengen Anforderungen der deutschen Behörden auch vor Gericht – insbesondere dem Europäischen Gerichtshof (EuGH) – bestehen, bleibt abzuwarten. Ein solcher Rechtstreit wäre für Unternehmen allerdings mit nervenzehrendem Verwaltungs- und Kostenaufwand verbunden. Daher sollten alle Unternehmen, die an Auftragsverarbeitungskonstellationen beteiligt sind, schon jetzt bei künftigen AVV die neue Checkliste heranziehen bzw. bereits bestehende interne Checklisten entsprechend anpassen. Bestehende Verträge sollten kritisch auf den Prüfstand gestellt werden. Denn es ist damit zu rechnen, dass die deutschen Datenschutzbehörden künftige Prüfungen anhand der neuen Checkliste durchführen.

Für Auftragsverarbeitungskonstellationen mit Bezug zum Nicht-EU-Ausland sollten vor dem Hintergrund der Schrems-II Rechtsprechung des EuGH die Standardvertragsklauseln der Kommission verwendet werden. Diese werden von den deutschen Behörden – zumindest vorerst – nicht beanstandet.

Sprechen Sie uns an, wenn Sie Fragen zu Auftragsverarbeitungsverträgen haben. Gerne unterstützen wir Sie auch bei der Umsetzung in Ihrem Unternehmen.