Wer sich einen Auftragsverarbeitungsvertrag schon einmal genauer angesehen hat, dem fällt auf, dass in jedem (rechtlich ordnungsgemäßen) Vertrag Regelungen zu Kontrollrechten zu finden sind.

Dies resultiert daraus, dass Art. 28 Abs. 3 lit. h) DSGVO vorschreibt, dass in einem Auftragsverarbeitungsvertrag geregelt wird, dass der Auftragsverarbeiter alle Informationen zum Nachweis der festgelegten Pflichten zur Verfügung stellt und Überprüfungen durch den Verantwortlichen oder einem beauftragten Prüfer ermöglicht. Dazu können auch Inspektionen gehören.

Theoretisch gehören Kontrollrechte und die Auftragskontrolle damit zu jeder Auftragsverarbeitung. Praktisch lässt sich feststellen, dass von den Kontrollrechten seit Mai 2018 eher selten Gebrauch gemacht wird.

Sind Auftragskontrollen Pflicht?

Ausdrücklich verpflichtend für den Verantwortlichen sind solche Kontrollen nicht, jedoch lässt sich aus Art. 28 Abs. 1 DSGVO ableiten, dass er ausschließlich mit Auftragsverarbeitern zusammenarbeitet, welche hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen getroffen und die Rechte der Betroffenen gewahrt werden. Das heißt, dass zwar nicht jederzeit der Auftragsverarbeiter durch den Verantwortlichen kontrolliert werden muss, aber es sollten anhand des Risikos der Verarbeitung für die Betroffenen regelmäßig Kontrollen stattfinden. Konkrete Zeitspannen werden hiermit nicht festgelegt, der Verantwortliche soll vielmehr selbst das Risiko abschätzen und daran seine Kontrollen des Auftragsverarbeiters ausrichten.

Umfang der Auftragskontrolle

Auch der Umfang und der Inhalt einer Kontrolle sind nicht gesetzlich geregelt. Es macht jedoch Sinn, die Prüfung an den vereinbarten Regelungen im Auftragsverarbeitungsvertrag auszurichten.

Kontrolliert werden kann beispielsweise, ob die Beschäftigen ordnungsgemäß auf Vertraulichkeit verpflichtet wurden, Datenschutzvorfälle in Bezug auf den Auftrag vorliegen und gemeldet wurden, die Subunternehmer entsprechend verpflichtet oder die Pflichten zur Löschung eingehalten werden. Zudem kann überprüft werden, ob ein Prozess zur Bearbeitung und Weiterleitung von Betroffenenanfragen beim Auftragnehmer implementiert wurde.

Besonders wichtig ist außerdem die Überprüfung der technischen und organisatorischen Maßnahmen. Die können gegebenenfalls auch in einem Vorort-Termin kontrolliert werden.

Entsprechende Kontrollen sind gemäß den gängigen Auftragsverarbeitungsvereinbarungen mit sinnvoller Vorbereitungszeit anzukündigen.

Bei der Auftragskontrolle kann sich durchaus auch von einem Datenschutzaudit sprechen lassen. Häufig ist ein solcher Aufwand zur Kontrolle aber weder auf Seiten des Verantwortlichen, noch beim Auftragsverarbeiter möglich oder gewollt. IT-Unternehmen, die beispielsweise sehr viele Kunden in ihrem Bereich betreuen und mit jedem Kunden einen Auftragsverarbeitungsvertrag schließen, können diese nicht tagtäglich für Vorort-Kontrollen durch ihre Räumlichkeiten führen. Auch bei Großunternehmen wie Cloudanbietern oder ähnlichem, wird man nicht immer dazu bewegen können, ein Datenschutzaudit durchzuführen.

Für solche Fälle wird in vielen Auftragsverarbeitungsverträgen festgeschrieben, dass die Auftragsverarbeiter ihre Datenschutzkonformität auch durch die Einhaltung genehmigter Verhaltensregeln nach Art. 40 DSGVO, Zertifizierungen nach Art. 42 DSGVO oder aktuelle Testate und Berichte von unabhängigen Instanzen (wie z. Bsp. Wirtschaftsprüfer, Datenschutzbeauftragte, Auditoren) nachweisen können.

Finden Kontrollen in gemeinsamen Abstimmungen mit dem Auftragsverarbeiter statt, sollte am Ende ein Prüfbericht zur Dokumentation erstellt werden.

Der eigene Datenschutzbeauftragte kann und sollte bei anstehenden Auftragskontrollen einbezogen werden.