Wenn im Rahmen einer Auftragsverarbeitung Dienstleister und Subdienstleister zum Einsatz kommen – welche Pflichten entstehen dann für Verantwortliche? Der Europäische Datenschutzausschuss (EDSA) hat sich auf Anfrage der dänischen Datenschutzaufsichtsbehörde zu dieser in der Praxis sehr wichtigen Frage geäußert (Stellungnahme).
EDSA-Stellungnahme zu Auftragsverarbeitern und Unterauftragsverarbeitern
Was wird von Verantwortlichen im Rahmen der Auftragsverarbeitung erwartet, insbesondere im Hinblick auf eine Kette von Subauftragsverarbeitern?
Die Antworten des EDSA auf diese Fragestellung sind nicht neu. Erfreulich ist jedoch die Klarheit, mit der sie gegeben wurden. Mühselige Diskussionen, in denen ein pragmatischer Ansatz Vorrang vor der rechtlich korrekten Lösung haben soll, können so hoffentlich künftig abgekürzt werden.
Kurz gesagt, muss der Verantwortliche seine Pflichten auch im Hinblick auf Subdienstleister genauso erfüllen, wie bereits beim direkt beauftragten Auftragsverarbeiter.
Im Einzelnen äußert sich der EDSA zu folgenden Aspekten:
Kenntnis von Unterauftragsverarbeitern
Der Verantwortliche muss alle (!) eingesetzten Subdienstleister kennen und auch wissen, was diese tun. Der Auftragsverarbeiter hat diese Informationen und alle relevanten Änderungen bereitzustellen.
Leider stellt sich ebendies in der Praxis oft als schwierig heraus. Die Informationen kommen gar nicht, viel zu unbestimmt oder aber als wenig brauchbarer Haufen, aus dem sich der Verantwortliche dann selbst mit großer Mühe und eher bescheidenem Erfolg die für ihn relevanten Angaben heraussuchen soll.
Notwendig ist im Ergebnis eine klare Auflistung mit einer vollständigen Angabe zur Identität der Subdienstleister, deren Aufgaben und den Kontaktmöglichkeiten.
Typischerweise erhält der Verantwortliche auch keine Mitteilung darüber, wenn in zweiter oder späterer Reihe Änderungen erfolgen, also beim Sub-Subdienstleister oder noch tiefer in der Kette.
Auch das sollte aber sichergestellt sein, übrigens auch vor dem Hintergrund, dass die Empfänger in Datenschutzhinweisen aufzuführen sind, aber spätestens bei Auskunftsverlangen genannt werden müssen.
Vertragliche Sicherstellung der Pflichterfüllung
Der Verantwortliche muss sicherstellen, dass seine Pflichten über die gesamte Kette von Dienstleistern und ggf. auch in die Verästelungen hinein ungeschmälert erfüllt werden.
Die Subbeauftragungen müssen also dem führenden Auftragsverarbeitungsvertrag (AVV) entsprechen und dürfen die festgelegten Grenzen der Verarbeitung nicht ändern oder das im AVV mit Blick auf den konkreten Einzelfall festgelegte Schutzniveau mindern. Auch die eingesetzten Subdienstleister müssen die in Art. 28 Abs. 1 DSGVO geforderten, ausreichenden Garantien bieten.
Kontrolle der Pflichterfüllung
Der Verantwortliche muss Sorge dafür tragen, dass nicht nur der Auftragsverarbeiter sondern auch die Subauftragnehmer ihren Pflichten tatsächlich nachkommen.
Hierzu kann es genügen, dem Auftragsverarbeiter aufzuerlegen, einen passenden Vertrag zu schließen sowie die Überwachung der Subdienstleister zu übernehmen – und sich als Verantwortlicher dann nur noch in angemessener aber auch gewissenhafter Weise zu vergewissern, dass der Auftragsverarbeiter diesen Pflichten nachkommt.
Abgesehen von sehr riskanten Verarbeitungen müssen also Subverträge nicht selbst geprüft oder Subdienstleister selbst kontrolliert werden.
In der Regel sollte es auch möglich und ausreichend sein, dem Auftragsverarbeiter die Möglichkeit einzuräumen, seine Lieferanten selbst zu kontrollieren und dem Verantwortlichen das Ergebnis mitzuteilen. Eigene Kontrollen wären dann nur noch geboten, soweit der Nachweis ausbleibt, ungeeignet oder zweifelhaft ist.
Eigentlich sollte eine solche Ausgestaltung jedem Auftragsverarbeiter entgegenkommen. Statt wahllos und zufällig verteilt mit unabgestimmten Kontrollen durch Verantwortliche überzogen zu werden, könnte zu einem selbst gewählten Zeitpunkt der Nachweis erbracht werden – und zwar gleich allen Verantwortlichen gemeinsam. Das wäre für alle Beteiligten am einfachsten und mit dem geringsten Aufwand verbunden. Immerhin besteht für Auftragsverarbeiter ohnehin die Pflicht zu Selbstkontrollen, wie ein kurzer Blick in Art. 32 Abs. 1 d) DSGVO bestätigt. Es dürfte also überhaupt kein zusätzlicher Aufwand entstehen. Warum sich dennoch viele Auftragsverarbeiter gegen eine solche Regelung sperren, lässt sich nur vermuten und sollte ein gesundes Misstrauen wecken.
Kontrolle Drittlandtransfer
Schließlich und endlich bleibt der Auftraggeber auch dafür verantwortlich, dass Übertragungen von Daten in Drittländer auch dann datenschutzkonform erfolgen, wenn diese durch einen Subauftragnehmer erfolgen. Die hierfür notwendigen Informationen und Nachweise muss der Verantwortliche erhalten und prüfen: Grundlage für die Übertragung, Risikobeurteilung bzw. Transfer Impact Assessment und ggf. notwendige zusätzliche Sicherheitsmaßnahmen.
Datenschutzrechtliche Einschätzung
Erneut ist der Aufschrei groß, wie praxisfern, bürokratisch und überzogen das Ganze nun wieder ist. Aber, ist das wirklich so?
Dass die eigene Verantwortlichkeit sich mit der Delegation einer Aufgabe nicht in Luft auflöst, sondern umwandelt, ist ein rechtlicher Grundsatz und definitiv nicht neu. Die tatsächliche Umsetzung einer Aufgabe wird der Verantwortliche zwar los, der hierfür eingesetzte Gehilfe muss aber sorgfältig ausgewählt und angemessen überwacht werden. Leider wollen dies aber immer wieder Verantwortliche nicht wahrhaben. Wie oft selbst in Zertifizierungsaudits der Einwand erhoben wird, man setze den Dienstleister doch gerade deshalb ein, weil der die Sache viel besser könne als man selbst und daher hätte man alles Vernünftige abschließend getan, ist kaum zu zählen.
Tipp: Lesen Sie bei der activeMind AG Ratgeber zur Delegierbarkeit datenschutzrechtlicher Pflichten sowie eine Anleitung zur Kontrolle von Auftragsverarbeitern.
Sehr häufig wird auch der Einwand gebracht, dass die Pflichten angesichts eines geringen Risikos nicht oder nur eingeschränkt bestünden. Das ist aber nicht korrekt und zeugt von einem falschen Grundverständnis. Die formellen Voraussetzungen der DSGVO sind immer und völlig unabhängig des Risikos zu erfüllen. Lediglich die Sicherheit der Verarbeitung und deren Kontrolle können und sollen risikoangemessen ausgestaltet sein. Die Notwendigkeit eines tauglichen Vertrages entfällt nicht, weil es um triviale personenbezogene Daten geht!
Dass die Erfüllung dieser Anforderungen in der Praxis oft sehr schwierig sein wird, ist kein Geheimnis.
Bereits die Verträge mit Subdienstleistern halten einer auch nur kursorischen Prüfung kaum stand. Vor allem aber sind die allerwenigsten Dienstleister und Subdienstleister darauf vorbereitet, dass über dem eigenen Auftraggeber ggf. noch andere Verantwortliche stehen. Die Vertragsgestaltung geht auf diese Position zwischen den Stühlen regelmäßig nicht ein.
Auftragsverarbeiter wären gut beraten, wenn sie nach oben nichts zusagen, was sie nach unten nicht einfordern können. Die wenigsten Dienstleister lassen derzeit ihre Verträge daraufhin prüfen und anpassen, dass sie eine Zwitterstellung einnehmen in der sie zugleich Auftraggeber als auch Auftragnehmer sind. Dabei wäre es enorm wichtig, dass wenigstens die Verträge, deren Partei man selbst ist, aufeinander abgestimmt sind und in beide Richtungen exakt und abschließend beschreiben, was versprochen ist und eingefordert werden kann. Nachdem aber gerade dies bereits oft im ersten Auftragsverarbeitungsvertrag in der Reihe nicht korrekt umgesetzt ist, wird es weiter hinten in der Kette nur noch schwerer.
Fazit
Angesichts der Haftungsregeln und Haftungsgefahr, ist es erstaunlich, dass so wenige Unternehmen sich ausreichend kompetente Beratung verschaffen. Die Datenschutzvereinbarungen werden als Beiwerk betrachtet. Dass es sich dabei um rechtlich zwingende und voll verbindliche Verträge handelt, wird oft nicht wahrgenommen.
Die gesetzlichen Haftungsregeln kommen noch dazu und die Urteile häufen sich. Gerade erst hat das OLG Dresden (Urt. v. 15.10.2024 – 4 U 940/24) bestätigt, dass die eigene Haftung nur entfallen kann, soweit der eingesetzte Dienstleister sorgfältig ausgesucht und auch tatsächlich sorgfältig kontrolliert wurde.
