Lässt ein Verantwortlicher personenbezogene Daten durch einen Dienstleister im Auftrag verarbeiten, müssen beide Parteien einen Auftragsverarbeitungs-Vertrag (AV-Vertrag) nach Art. 28 Abs. 3 S. 1 DSGVO abschließen. Doch welche Maßnahmen kann ein Auftragsverarbeiter treffen, wenn sich Neu- oder Altkunden weigern, einen solchen Vertrag zu unterschreiben? Was können Verantwortliche tun, wenn Dienstleister sich sperren?
Die Pflicht zum AV-Vertrag
Der Abschluss eines Vertrages über die Verarbeitung im Auftrag ist eine notwendige Voraussetzung, damit eine Rechtsgrundlage für die Auftragsverarbeitung besteht. Wurde ein solcher Vertrag nicht abgeschlossen, darf grundsätzlich keine Datenübermittlung vom Auftraggeber an den Auftragnehmer erfolgen. Die sogenannte Privilegierung des Auftragsverarbeiters entfällt.
Wenn Sie neue Verträge mit Kunden abschließen, sollten Sie den AV-Vertrag als eine Anlage zum Standardvertrag anfügen. Hierdurch wird sichergestellt, dass mit dem Abschluss des eigentlichen Vertrages auch die datenschutzrechtlichen Vorgaben einer Auftragsverarbeitung einzuhalten sind.
Tipp: Nutzen Sie unsere kostenlose Vorlage für einen AV-Vertrag, um die Auftragsverarbeitung mit Verantwortlichen oder Dienstleistern rechtlich abzusichern.
Was tun, wenn ein AV-Vertrag verweigert wird?
Schwieriger stellt es sich dar, wenn sich ein (Bestands-)Kunde bzw. (wichtiger) Auftragnehmer weigert, den AV-Vertrag zu unterschreiben. Zwar besteht sowohl für den Verantwortlichen als auch den Auftragsverarbeiter eine gesetzliche Pflicht, einen AV-Vertrag zu schließen, wenn Daten im Auftrag verarbeitet werden sollen. Jedoch kann niemand gezwungen werden, einen Vertrag abzuschließen.
Zunächst empfiehlt es sich, den Verantwortlichen bzw. Dienstleister auf seine Pflicht zum Abschluss eines AV-Vertrages hinzuweisen und ihm einen solchen in dokumentierter Weise anzubieten. So können Sie wenigstens nachweisen, dass Sie Ihr Gegenüber auf die gesetzliche Pflicht hingewiesen und ernsthafte Versuche zur Vertragsunterschrift unternommen haben.
Tipps für Auftragsverarbeiter
Sperrt sich ein Kunde gegen den Abschluss eines Vertrages über Auftragsverarbeitung, könnte es helfen, einen zusätzlichen kostenlosen Service-Rahmenvertrag mit dem AV-Vertrag als Annex anzubieten. So freut sich Ihr Kunde über ein (scheinbares) Mehr an Service und Sie stehen als Auftragsverarbeiter datenschutzrechtlich (mehr) auf der sicheren Seite.
Eine vermutlich noch sicherere Variante ist die Abgabe einer einseitigen Garantieerklärung durch den Auftragsverarbeiter. Dabei erklärt er einseitig, den konkreten Pflichten aus Art. 28 Abs. 3 DSGVO nachzukommen. Ob eine solche Erklärung von den Aufsichtsbehörden als wirksame Alternative zu einem AV-Vertrag akzeptiert werden wird, bleibt abzuwarten. Es ist jedoch davon ausgehen, dass eine Garantieerklärung in den Augen der Aufsichtsbehörde ein überzeugenderes Argument gegen ein Bußgeld sein wird, als der bloße Versuch einen Vertrag über Auftragsverarbeitung zu schließen. Der entscheidende Hinweis findet sich u.a. in Art. 28 Abs. 3 S. 1 DSGVO, woraus sich ergibt, dass die Verarbeitung im Auftrag auf der Grundlage eines Vertrages oder „eines anderen Rechtsinstruments“ erfolgt.
Tipps für Verantwortliche
Dass Auftragsverarbeiter sich weigern, einen AV-Vertrag abzuschließen, dürfte deutlich seltener vorkommen – gibt es doch für die allermeisten Dienstleister mehr oder weniger gute Alternativen. Sollte dies jedoch nicht der Fall oder ein Wechsel des Auftragnehmers mit unverhältnismäßigen Kosten verbunden sein, bleibt Ihnen als Verantwortlicher entweder nur das Risiko einzugehen oder auf einen anderen Dienstleister auszuweichen. Bei der Marktmacht einiger Dienstleister kann sich das schwierig gestalten. Die DSGVO hat aber gezeigt, dass auch größere Dienstleister einlenken und mittlerweile Auftragsverarbeitungsverträge anbieten. Diese können in der Regel auch auf elektronischem Wege geschlossen werden. Informieren Sie sich diesbezüglich bei Ihrem Dienstleister.
Künftig sollten Datenschutz-Gesichtspunkte bereits im Vorfeld der Auswahl im Rahmen des Vertragsmanagements berücksichtigt werden. Die Auswahl eines Dienstleisters kann dann unter anderem vom Bestehen eines Auftragsverarbeitungsvertrages der die Anforderungen aus Art. 28 DSGVO erfüllt abhängig gemacht werden.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!