§ 12 Datenschutzrecht / b) Prüfung und Überwachung des Auftragnehmers

Rz. 62

Mit dem Abschluss des AV-Vertrages sind die Pflichten von Auftraggeber und Auftragnehmer nicht beendet. Aus dem AV-Vertrag resultieren für beide Beteiligten weitere Pflichten.

Rz. 63

Spätestens zu Beginn der Datenverarbeitung sollte sich der Auftraggeber im Rahmen seiner Rechenschaftspflichten nach Art. 24 DSGVO vom Auftragsverarbeiter bestätigen lassen, dass die vertraglich vereinbarten technischen und organisatorischen Maßnahmen zur Gewährleistung der IT-Sicherheit auch eingehalten werden. Diese Bestätigung sollte durch eine unabhängige Person, etwa den IT-Sicherheitsbeauftragten oder den Datenschutzbeauftragten des Auftragnehmers, erfolgen. Darüber hinaus ist im Rahmen der Rechenschaftspflicht vorzusehen, dass entsprechende Prüfungen beim Dienstleister stattfinden. Dies kann – abhängig von der Kritikalität der Datenverarbeitung – durch eine schriftliche Auskunft des Dienstleisters oder aber durch Vor-Ort-Kontrollen erfolgen. Dienstleister dürfen für eine entsprechende Unterstützung bei Durchführung der Kontrollen kein gesondertes Entgelt verlangen.^[33]

Rz. 64

Die Erteilung von konkreten Weisungen zur Verarbeitung der personenbezogenen Daten durch den Auftraggeber ist nicht nur bei Vertragsabschluss, sondern auch im Rahmen der Vertragsdurchführung wichtig. Der Auftragsverarbeiter muss wissen, welche Daten für welchen Zweck er verarbeiten soll. Dies ist insbesondere für die Haftung des Dienstleisters relevant. Der Auftragsverarbeiter ist datenschutzrechtlich im Innenverhältnis gegenüber dem Auftraggeber nicht verantwortlich, solange er die Datenverarbeitung gemäß den Weisungen des Auftraggebers durchführt. In diesem Fall verbleibt die Haftung für die Rechtmäßigkeit der Datenverarbeitung beim Auftraggeber. Im Außenverhältnis trifft sowohl Auftraggeber als auch Auftragsverarbeiter eine gesamtschuldnerische Haftung hinsichtlich möglicher Schadensersatzansprüche Betroffener nach Art. 82 DSGVO.

[33] Vgl. Aufsichtsbehörde Bayern, Keine gesonderte Entgeltpflicht für Kontrollen bei der Auftragsverarbeitung, https://www.datenschutz-bayern.de/datenschutzreform2018/aki06.html.