Thema dieses Beitrags ist die Frage, ob dem Verantwortlichen beim Vorliegen einer Auftragsverarbeitung auch ein Inspektionsrecht gegenüber weiteren Auftragnehmern (im Folgenden: Subauftragsverarbeitern) eingeräumt werden muss. Also, ob ein Auftragsverarbeiter der Subauftragsverarbeiter einschaltet in den Auftragsverarbeitungsvertrag ein Inspektionsrecht im Sinne des Art. 28 Abs. 3 lit. h) DSGVO für den Verantwortlichen aufnehmen muss?
Die Frage ist im Gesetz nicht eindeutig geregelt. In Art. 28 abs. 4 DSGVO heißt es:
„Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters [Subauftragsverarbeiter] in Anspruch, […] so werden diesem […] [Subauftragsverarbeiter] im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Absatz 3 [des Art. 28 DSGVO] festgelegt sind […].“
Gegen die Annahme eines solchen Inspektionsrecht kann angeführt werden, dass nach Art. 28 Abs. 4 DSGVO der Auftragsverarbeiter für die Einhaltung der Pflichten des Subauftragsverarbeiters haftet und gerade nicht der Verantwortliche.
Jedoch können Betroffene den Schaden auch gegenüber dem Verantwortlichen geltend machen. Nach Art. 82 Abs. 2 S. 1 DSGVO haftet nämlich jeder an einer Verarbeitung beteiligte für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Dritten bleibt es daher möglich Schäden, die ihnen aufgrund einer nicht der DSGVO entsprechenden Verarbeitung entstanden sind, gegenüber dem Verantwortlichen geltend zu machen. Der Verantwortliche kann sich dann wiederum gegenüber dem Auftragsverarbeiter schadlos halten, trägt jedoch ggf. das Ausfallrisiko.
Dafür, dass der Verantwortliche ein Inspektionsrecht beim Subauftragsverarbeiter haben muss, spricht auch das Muster „Formulierungshilfe für einen Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO“ des Landesdatenschutzbeauftragen Baden-Württemberg (Seite 6). Darin heißt es:
„Insbesondere muss der Auftraggeber berechtigt sein, im Bedarfsfall angemessene Überprüfungen und Inspektionen, auch vor Ort, bei Subunternehmern durchzuführen oder durch von ihm beauftragte Dritte durchführen zu lassen.“
Obwohl die Praxistauglichkeit dieser Auffassung fragwürdig erscheint, sollte die Ansicht der Aufsichtsbehörde beachtet werden und beim Abschluss von Auftragsverarbeitungsverträgen zwischen Auftragsverarbeitern und Subauftragsverarbeitern eine entsprechende Regelung zum Inspektionsrecht des Verantwortlichen aufgenommen werden.
Wenn man das Inspektionsrecht des Verantwortlichen gegenüber dem Subauftragsverarbeiter nicht in den Vertrag aufnimmt, besteht die Gefahr, dass der Auftragsverarbeiter sich gegenüber dem Verantwortlichen vertraglich zu etwas verpflichtet, was er nicht umsetzen kann oder der Vertrag mit dem Subauftragsverarbeiter nachträglich angepasst werden muss.
Fritz von Allmen
16. September 2019 @ 10:22
Ein Datenverarbeiter (der z.B. für eine Firma eine Webseite erstellt und auf US- oder China-Cloud betreibt) handelt fahrlässig wenn er dem Controller dieses Recht vertraglich zugesteht. Umgekehrt ist es einfach naiv (und somit IMHO auch fahrlässig) vom Controller dies wissentlich so hinzunehmen und gegebenenfalls im Ernstfall darauf zu bestehen. Datenschutzrecht muss mit der Realität in Einklang gebracht werden – nicht dem Gesetzgeber zu liebe, sondern zum Schutze der Betroffenen!
Martin
12. September 2019 @ 16:11
Ich habe vor ein paar Monaten bei der Aufsichtsbehörde in Schleswig-Holstein nachgefragt und diese teilte mit, dass man „derzeit“ nicht davon ausgehe, dass zwingend ein direktes Kontrollrecht des Auftraggebers bei Unterauftragnehmern des Auftragnehmers zu vereinbaren ist.
Marc Oetzel
9. September 2019 @ 22:45
Das ist eine interessante Frage und sehr praxisrelevant. Die Empfehlung unterstellt, so sinnvoll wie sie aus Sicht des Verantwortlichen auch sein mag, dass der Subverarbeiter das schwächste Glied in der „Verarbeitungskette“ ist. Der Vorschlag wird aber dann praxisuntauglich, wenn es um die massenhafte Datenverarbeitung für eine Vielzahl von Verantwortlichen durch einen großen Serviceprovider als Subverarbeiter geht (AWS, Google). Diese werden werden sich in ihren Verträgen mit dem Hauptverarbeiter sicherlich nicht darauf einlassen, von unbekannten Dritten (=Verantwortlichen) auditiert zu werden.