Auditrecht
Das Auditrecht bezeichnet die vertragliche Befugnis des Auftraggebers, bei Dienstleistern (insbesondere Auftragsverarbeitern) die Einhaltung vereinbarter Datenschutz- und Sicherheitsanforderungen durch Überprüfungen, Inspektionen oder externe Prüfer zu kontrollieren.
Ausführliche Erklärung
Das Auditrecht ist ein zentrales Element der Kontrolle in Auftragsverhältnissen, insbesondere bei der Verarbeitung personenbezogener Daten. Nach Art. 28 Abs. 3 lit. h DSGVO muss jeder Auftragsverarbeitungsvertrag dem Verantwortlichen das Recht einräumen, die Einhaltung der vereinbarten technischen und organisatorischen Maßnahmen zu überprüfen. Der Auftragsverarbeiter ist dabei verpflichtet, Überprüfungen zu ermöglichen und aktiv dazu beizutragen.
In der Praxis gibt es verschiedene Formen der Ausübung dieses Auditrechts: Vor-Ort-Inspektionen durch den Verantwortlichen selbst, Remote-Audits mittels Fragebögen oder Videokonferenzen, Beauftragung unabhängiger Prüfer oder die Vorlage anerkannter Zertifikate wie ISO 27001. Die Wahl des Nachweisverfahrens hängt vom Risikoprofil der Datenverarbeitung ab. Während die DSGVO ausdrücklich die Vorlage von Zertifizierungen als Nachweis akzeptiert, betonen Aufsichtsbehörden, dass eigene Kontrollrechte vertraglich nicht ausgeschlossen werden dürfen – selbst wenn Zertifikate vorliegen.
Die Häufigkeit der Audits richtet sich nach dem Risiko der Verarbeitung. Als Orientierung empfehlen Datenschutzexperten bei normalen Verarbeitungsvorgängen Kontrollen alle ein bis anderthalb Jahre. Bei hohen Risiken können unterjährige Kontrollen geboten sein, während Abstände von über zwei Jahren gut begründet sein sollten. Ein Abstand von fünf Jahren gilt als nicht mehr akzeptabel. Die Kosten für Audits sind grundsätzlich zwischen den Parteien frei verhandelbar, wobei unverhältnismäßig hohe Kosten nicht dazu führen dürfen, dass Kontrollrechte faktisch unmöglich gemacht werden.
Für KMU ist das Auditrecht besonders relevant, wenn sie Cloud-Dienste, KI-Systeme oder andere externe Dienstleister einsetzen. Ohne wirksame Kontrolle können sie ihrer Rechenschaftspflicht nicht nachkommen. Große Cloud-Anbieter bieten häufig standardisierte Nachweise an, die den Aufwand reduzieren. Dennoch sollten Sie sich im Vertrag explizit das Recht auf eigene Überprüfungen bei begründetem Anlass vorbehalten.
Praxisbeispiel
Eine Steuerberatungskanzlei mit 18 Mitarbeitenden in Salzburg nutzt für die Buchhaltungssoftware einen Cloud-Anbieter. Im Auftragsverarbeitungsvertrag wurde vereinbart, dass der Anbieter jährlich ein aktuelles ISO 27001-Zertifikat vorlegt. Zusätzlich behält sich die Kanzlei das Recht vor, bei begründetem Anlass einen unabhängigen Datenschutzauditor zu beauftragen. Als der Anbieter einen Unterauftragsverarbeiter in ein Drittland einbindet, macht die Kanzlei von diesem Recht Gebrauch und lässt sich die technischen und organisatorischen Maßnahmen durch einen externen Prüfer bestätigen. Diese Kombination aus Zertifikat und anlassbezogener Prüfung erfüllt die Anforderungen der DSGVO effizient.
Quellen
- Regelung der Dienstleisterkontrolle bei der Auftragsverarbeitung - Dr. Datenschutz
- Auftragsverarbeitung DSGVO: Ihr Leitfaden für rechtssicheren Datenschutz - audius
- Regelmäßige Kontrolle von Auftragsverarbeitern - activeMind AG
- Eingeschränkte Kontrollrechte des Auftraggebers im Auftragsverarbeitungsvertrag - Datenschutz-Guru