Viele Unternehmen lagern einzelne Aufgaben an externe Dienstleister aus, da durch das sog. Outsourcing oft effizientere Lösungen gefunden werden können. Als Beispiele wären die Verwendung einer fremdgehostete HR-Software, auf der Bewerber ihre Unterlagen hochladen können, oder der Newsletter-Versand über einen externen Anbieter zu nennen. Die Dienstleister verarbeiten dann ggf. auch personenbezogene Daten im Auftrag der verantwortlichen Unternehmen und sind in diesem Fall Auftragsverarbeiter im Sinne der DSGVO. Hierbei ergeben sich für die Verantwortlichen aus datenschutzrechtlicher Sicht bestimmte Kontrollpflichten (wir berichteten).
Diese Kontrollpflichten beschränken sich jedoch nicht nur auf den direkt eingesetzten Dienstleister, sondern erstrecken sich auch auf etwaige Unterauftragnehmer bzw. auf die sog. Unterauftragsverarbeiter dieser Dienstleister, welche zumeist im Anhang des abzuschließenden Auftragsverarbeitungsvertrages aufgelistet sind. Solche „Ketten der Unterauftragsvergabe“ bei Datenverarbeitungstätigkeiten führen schnell zu einer größeren Anzahl von beteiligten Akteuren und damit auch zu komplexen Strukturen, die es zu prüfen gilt.
Stellungnahme des EDSA zu den Kontrollpflichten
Der Europäische Datenschutzausschuss (EDSA) hat zu diesen Kontrollpflichten wesentliche Klarstellungen in einer Stellungnahme getroffen:
- Angabe der (Unter-)Auftragsverarbeiter: Alle Auftragsverarbeiter in der „Kette“ müssen dem Verantwortlichen bekannt sein (Name, Anschrift, Kontaktperson, Beschreibung der Verarbeitung). Dies ist wichtig, da die Verantwortlichen im Falle eines Verstoßes zur Rechenschaft gezogen werden können. Daneben ist die Information für Betroffenenanfragen auf Auskunft von Bedeutung.
- Überprüfungspflicht: Die Verpflichtung zur Kontrolle der Einhaltung der DSGVO erstreckt sich auf alle Auftragsverarbeiter in der Kette – unabhängig von der Anzahl. Schon bei der sorgfältigen Auswahl des Auftragsverarbeiters muss der Verantwortliche sicherstellen, „dass die Verarbeitungskette nur aus Auftragsverarbeitern, Unterauftragsverarbeitern, Unter-Unterauftragsverarbeitern (usw.) besteht, die „die hinreichend [!] Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen […] durchgeführt werden“.“ (S. 15 f.).
- Umfang der Überprüfung: Die Verpflichtung zur Überprüfung, ob der (Unter-)Auftragsverarbeiter hinreichende Garantien bietet, ist unabhängig vom Risiko der Verarbeitung. Der Umfang der Kontrollen orientiert sich jedoch am Risiko der Verarbeitung: Je sensibler die Daten, desto genauer muss die Überprüfung sein. Dies kann eine eigene Kontrolle notwendig machen; erleichtert wird diese Pflicht durch die Unterstützungs- und Prüfverpflichtungen des ursprünglichen Auftragsverarbeiter. Je nach Risiko kann diesem auch eine erweiterte Überprüfungs- und Dokumentationspflicht auferlegt werden. Die endgültige Entscheidung und Verantwortung verbleiben jedoch beim Verantwortlichen.
- Vertragsprüfung: Verantwortliche sollten ihr Überprüfungsrecht in Anspruch nehmen, sich abgeschlossene Unterauftragsverarbeitungsverträge vorlegen lassen und diese prüfen – zumindest stichprobenartig. Insbesondere bei Zweifeln an der Einhaltung der Anforderungen sollte eine solche Prüfung stets erfolgen.
- Drittlandsübermittlungen entlang der Kette: Der EDSA stellt klar, dass der Verantwortliche – wie es der Name sagt – in der Verantwortung bleibt und den Verpflichtungen aus Art. 44 DSGVO unterliegt, wenn die (Unter-)Auftragsverarbeiter eine Erst- oder Weiterübermittlung von Daten in ein Drittland durchführen. In einer Dokumentation sollte der Verantwortliche deshalb Folgendes vorlegen können:
- Der Verantwortliche muss Kenntnis davon haben, welche personenbezogenen Daten übermittelt werden, wohin diese übermittelt werden und für welche Zwecke.
- Prüfung der Grundlage für die Übermittlung, also des Vorliegens eines Angemessenheitsbeschlusses oder sonstiger geeigneter Garantien im Sinne des Art. 46 DSGVO. Zusätzlich ist ein Transfer Impact Assessment (TIA) durchzuführen und getroffene geeignete Garantien und ergänzende Maßnahmen sind zu dokumentieren. Entsprechende Prüfungen und Informationen sollte sich der Verantwortliche vorlegen lassen und sicherstellen, dass diese im Einklang mit der Rechtsprechung sind.
Verantwortliche Unternehmen sollten durch interne Prozesse sicherstellen, dass sie ihren Kontrollpflichten nachkommen können. Hierzu können laut EDSA bspw. Fragebögen genutzt werden, um die benötigten Informationen bei den (Unter-)Auftragsverarbeitern einholen zu können; öffentliche Informationen sollten gesichtet, entsprechende Zertifizierungen bzw. Prüfberichte angefordert oder Prüfungen vor Ort durchgeführt werden.
Fazit
Wichtig ist, dass sich Verantwortliche auch wirklich ihrer Pflichten und Verantwortlichkeiten bewusst sind und dass diese Verpflichtungen in Bezug auf die Unterauftragnehmer nicht vollumfänglich auf die eingesetzten Dienstleister „abgeschoben“ werden können. Die Intensivität der Kontrollpflichten ist vom Risiko der Verarbeitung abhängig.
Gerade diese Kontrollpflichten machen es aber auch notwendig, vor Abschluss des Auftragsverarbeitungsvertrages zu prüfen, ob es sich bei den im Vertrag benannten Unterauftragsverarbeitern auch wirklich um Unterauftragsverarbeiter handelt. Verantwortliche müssen sich die Frage stellen, ob diese Diensteanbieter tatsächlich Teil der beauftragten Dienstleistung sind.
In der Praxis kommt es häufig vor, dass Auftragsverarbeiter schlicht all ihre eingesetzten Dienstleister benennen – auch diese, die sie zu eigenen Zwecken einsetzen. Hier ist zu prüfen, wer wirklich als (Unter-)Auftragsverarbeiter zählt. Je nach Art der Dienstleistung handelt es sich bei der Verarbeitungstätigkeit um eine Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen – oder eben nicht. Der Schlüssel liegt darin, ob der Verantwortliche über die Zwecke und Mittel der Verarbeitung entscheiden kann. Eine Hilfestellung für die Abgrenzung ist ebenfalls bei der EDSA zu finden, in den Leitlinien von 2021.