Die Verantwortung für den Datenschutz ist eine zentrale Herausforderung für Unternehmen, besonders wenn es darum geht, externe Dienstleister und Unterauftragsverarbeiter einzubinden. Doch wie weit reichen die Kontrollpflichten des Auftraggebers? Muss er alle Unternehmen in der Auftragskette überwachen, oder reicht eine Kontrolle der direkten Vertragspartner? In einer aktuellen Stellungnahme hat der Europäische Datenschutzausschuss (EDSA) Klarheit geschaffen und die Pflichten von Auftraggebern im Hinblick auf Datenschutz und Kontrolle präzisiert. Erfahren Sie, wie Sie als Auftraggeber Ihre Verantwortung richtig einordnen und welche Maßnahmen Sie ergreifen müssen, um datenschutzrechtlich auf der sicheren Seite zu sein.
Risikoabhängige Kontrollen
Das Thema war lange Zeit umstritten: Wie weit reicht die Verantwortung von Auftraggebern, wenn es um die Kontrolle ihrer Dienstleister und eventuell auch deren Subunternehmer geht? Einige meinten, der Auftraggeber müsse alle Unternehmen in der Auftragnehmerkette kontrollieren. Andere waren der Ansicht, es sei ausreichend, nur den direkten Vertragspartner (also den Auftragnehmer) in Bezug auf dessen technische und organisatorische Maßnahmen zu überprüfen. Der EDSA hat nun in seiner Stellungnahme 22/2024 Licht ins Dunkel gebracht. Darin erläutert er, dass die DSGVO dem Auftraggeber in den Artikeln 24 Absatz 1 und 28 Absatz 1 die Verantwortung für den Datenschutz über die gesamte Verarbeitung auferlegt. Diese Verantwortung bleibt auch dann bestehen, wenn Dienstleister hinzugezogen werden und diese wiederum Unterauftragnehmer einsetzen. Dies soll gelten, ganz gleich wie viele Unternehmen letztlich in der Auftragnehmerkette vorhanden sind.
Laut EDSA hängt die Kontrolle, die der Auftraggeber ausüben muss, jedoch vom Risiko der Verarbeitung ab. Je höher das Risiko für die betroffenen Personen, desto intensiver muss die Kontrolle durch den Auftraggeber erfolgen. In solchen Fällen könnte es notwendig sein, dass der Auftraggeber auch einzelne Verträge mit Subunternehmern prüft und sich nicht ausschließlich auf die Kontrollen durch den Hauptauftragsverarbeiter verlässt. Dies gilt vor allem, wenn es Hinweise auf Probleme oder Lücken bei den Garantien oder deren Umsetzung durch einen Unterauftragnehmer gibt. Der Auftraggeber hat dabei jederzeit das Recht, von seinem (direkten) Dienstleister die Vorlage aller Verträge zur Auftragsverarbeitung (AVVs) mit seinen Subunternehmern zu verlangen.
Reichweite der Pflicht des Verantwortlichen
Es ist wichtig zu beachten, dass wenn etwa keine besonders sensiblen Daten nach Artikel 9 DSGVO verarbeitet werden, auch nicht automatisch von einem hohen Risiko ausgegangen werden kann. Der verantwortliche Auftraggeber muss also nicht standardmäßig alle Verträge mit Unterauftragnehmern anfordern und prüfen, wenn jedoch Zweifel an den Garantien eines Dienstleisters aufkommen, wird dies notwendig. Der Auftraggeber kann vom Auftragsverarbeiter verlangen, dass dieser die Verträge seiner Unterauftragnehmer vorlegt und auch die technischen und organisatorischen Maßnahmen überprüft, um sicherzustellen, dass die Anforderungen der DSGVO erfüllt werden. Dies bedeutet jedoch nicht, dass der Auftraggeber jederzeit und uneingeschränkt direkt bei den Subdienstleistern vor Ort Kontrollen durchführen kann, während der Auftragnehmer außen vor bleibt. AVVs und Zertifikate zum Nachweis der technischen und organisatorischen Maßnahmen können jedoch jederzeit vom Auftraggeber über seinen direkten Auftragnehmer angefordert werden. Dies gilt insbesondere, da der Verantwortliche und die Subdienstleister des Auftragnehmers in keinem direkten Vertragsverhältnis zueinander stehen.
Fazit
Zusammenfassend lässt sich sagen, dass der Auftraggeber gemäß der DSGVO auch dann für die Datenschutzkonformität der gesamten Verarbeitung verantwortlich bleibt, wenn Auftragsverarbeiter oder Unterauftragnehmer im Einsatz sind. Diese Verantwortung wird nicht durch die Zahl oder Komplexität der Subunternehmerkette gemindert. Der Umfang der Kontrolle, die der Auftraggeber ausüben muss, hängt vom Risiko der Verarbeitung ab – je höher das Risiko, desto intensiver muss die Kontrolle sein. Der Auftraggeber hat die Pflicht, Verträge mit Unterauftragnehmern einzusehen und die technischen sowie organisatorischen Maßnahmen zu überprüfen, um sicherzustellen, dass die Anforderungen an Datenschutz und Datensicherheit erfüllt werden. Allerdings bedeutet dies nicht, dass der Auftraggeber immer und bedingungslos direkte Kontrollen bei sämtlichen Subdienstleistern durchführen kann. Insgesamt wird der Auftraggeber verpflichtet, bei Zweifeln an den Datenschutzgarantien zusätzliche Prüfungen vorzunehmen.
Update 26.05.2025
Im Fazit wurde eine sprachliche Anpassung vorgenommen.
27. Mai 2025 @ 13:24
„Der verantwortliche Auftraggeber muss also nicht standardmäßig alle Verträge mit Unterauftragnehmern anfordern und prüfen, wenn jedoch Zweifel an den Garantien eines Dienstleisters aufkommen, wird dies notwendig.“
-> So werden es, denke ich, die meisten Unternehmen handhaben und folglich risikobasiert vorgehen.
Natürlich kann man proaktiv bei den Auftragsverarbeitungen, bei denen aufgrund der Sensibilität und der Menge an personenbezogenen Daten ein hohes Risiko besteht, theoretisch den Auftragsverarbeiter auffordern, dessen Verträge mit Unterauftragsverabeitern offenzulegen. In der Praxis wird das, glaube ich, aber kaum einer machen.
Zumal sich hier teilweise auch die Sinnfrage stellt. Wenn man Microsoft als Dienstleister einsetzt, kann man beim DPA nicht viel erwarten. Das wird bei Microsofts Verträgen mit Unterauftragsverarbeitern, die man einsehen möchte, nicht anders sein (sofern Microsoft auf so eine Anfrage eines Verantwortlichen überhaupt reagiert).
22. Mai 2025 @ 12:22
Hier würde mich interessieren, wie dies zum einen vor dem Hintergrund von Art. 28 Abs. 4 DSGVO zu sehen ist und auch vertragsrechtlich eingeordnet werden kann. Grundsätzlich hat der Verantwortliche keinen Vertrag mit dem Unterauftragsverarbeiter und wird es dementsprechend auch schwer haben Kontrollen nachzukommen. M.E. wäre es de facto oftmals gar nicht möglich Auftragsverarbeiter einzusetzen, die ihrerseits wiederum eine Vielzahl an Unterauftragsverarbeitern einsetzen.
20. Mai 2025 @ 10:30
Interessant zu diesem Thema ist auch das Urteil des OLG Dresden vom 10.09.2024 – 4 U 602/24.
23. Mai 2025 @ 13:18
sowie
ISO 27001:2022 Anhang A 5.19 – Informationssicherheit in Lieferantenbeziehungen