Vereinbarungen zu eingesetzten Unterauftragsverarbeitern innerhalb von Auftragsverarbeitungsverträgen (AV-Verträge oder auch AVV) führen immer wieder zu Rückfragen. Dies gilt insbesondere in Bezug auf Dienstleister aus Drittstaaten, d. h. aus Ländern außerhalb der EU bzw. des EWR. Nicht immer fallen diese unter einen Angemessenheitsbeschluss der Europäischen Kommission (Art. 45 DSGVO). In diesem Fall sind andere (geeignete) Garantien zur Legitimation eines Datentransfers an den entsprechenden Dienstleister zu treffen, wie bspw. der Abschluss von EU-Standarddatenschutzklauseln (Art. 46 Abs. 2 lit. c DSGVO) mit der Durchführung des darin vorgeschriebenen Transfer Impact Assessments (TIA).
Sicht des Auftraggebers
Den Auftraggeber trifft als Verantwortlichen (Art. 4 Nr. 7 DSGVO) für die beauftragten Datenverarbeitungen in diesem Zusammenhang ein Risiko: Er genehmigt den Einsatz von Unterauftragsverarbeitern i. d. R. innerhalb des AVV. Dies erfolgt zumeist durch die Vereinbarung einer Liste der eingesetzten Unterauftragsverarbeiter mit dem (ersten) Auftragnehmer, wobei im Vertrag auch häufig nur auf eine Unterseite des Webauftritts des (ersten) Auftragnehmers verlinkt wird. Die Genehmigung des Auftraggebers führt dabei grundsätzlich zu einer datenschutzrechtlichen Prüfpflicht im Hinblick auf die in der Liste aufgeführten und damit genehmigten Anbieter. Diese Prüfung kann dabei umso aufwendiger werden, je mehr Unternehmen aus (unsicheren) Drittstaaten genannt sind und wiegt umso schwerer, wenn die aufgeführten Anbieter möglicherweise gar nicht im Rahmen der Auftragsverarbeitung eingesetzt werden. So arbeiten viele Auftragsverarbeiter z. B. mit einer pauschalen Liste von Subdienstleistern, die für verschiedene Dienstleistungen oder sogar eigenverantwortliche Datenverarbeitungen (bspw. Bereitstellung einer Software für die eigene Kundendatenbank) hinzugezogen werden. Für Auftraggeber resultiert daraus ein oftmals unnötiger Aufwand sowie ein mögliches Beanstandungsrisiko aufgrund der vertraglichen Genehmigung der Unternehmen als Unterauftragsverarbeiter.
Sicht des Auftragnehmers
Aus Sicht des Auftragnehmers scheint das Führen einer einzigen Liste mit Unterauftragsverarbeitern meist als praktische Lösung. Zumeist wird es als aufwändig und zu kompliziert betrachtet, verschiedene Listen für verschiedene Dienstleistungen bzw. Arten von Auftragsverarbeitungen anzubieten. Um „auf Nummer sicher“ zu gehen und alle relevanten Datenverarbeitungsprozesse abzudecken, nehmen einige Auftragsverarbeiter dann lieber zu viele als zu wenige Unternehmen in die Aufzählung auf. Die Liste kann in dieser Konstellation – wie beschrieben – dann bspw. auch Anbieter umfassen, die eigentlich für Verarbeitungen in eigener Verantwortlichkeit und nicht für die konkrete beauftragte Dienstleistung zum Einsatz kommen. Dass die vertragliche Vereinbarung dieser Unternehmen als Unterauftragsverarbeiter darin resultiert, dass die Auftraggeber – gemäß erforderlicher Regelungen im AVV (Art. 28 Abs. 3 S. 2 lit. d DSGVO) – informiert werden und Änderungen bzw. einem Wechsel entweder zustimmen müssen oder zumindest ein Einspruchsrecht haben (Art. 28 Abs. 2 DSGVO), scheint dabei oft vergessen zu werden. Zu beachten bleibt, dass dies dann möglicherweise auch eigenverantwortliche Vorgänge betreffen könnte.
Fazit
Grundsätzlich dürfte es für beide Seiten (Auftraggeber und Auftragnehmer) von Vorteil sein, eine für die konkrete Auftragsverarbeitung „passende“ Liste an eingesetzten Unterauftragsverarbeitern zu vereinbaren. Hierbei sollten Rechtsform, Anschrift und Tätigkeit der Dienstleister – sowie bei Unternehmen aus Drittländern Angaben zu den geeigneten Garantien (nach Art. 44 ff.) zur Gewährleistung eines angemessenen Datenschutzniveaus – mit angegeben werden.