Datenschutz Verstehen – Unterauftragsverarbeiter nach der DSGVO.
Einleitung
Die Datenschutz-Grundverordnung (DSGVO) ist seit Mai 2018 in Kraft und stellt umfangreiche Anforderungen an den Schutz personenbezogener Daten. Ein zentraler Aspekt der DSGVO betrifft den Umgang mit Auftragsverarbeitungen. Hierzu werden oftmals auch Unterauftragsverarbeiter eingesetzt durch den Auftragsverarbeiter. In diesem Beitrag erklären wir, wann Unterauftragsverarbeiter in einem Auftragsverarbeitungsvertrag (AVV) benannt werden müssen und welche Pflichten dabei für den Verantwortlichen und den Auftragsverarbeiter bestehen.
Was ist ein Auftragsverarbeiter?
Es ist zunächst notwendig zu verstehen, was ein Auftragsverarbeiter ist, welcher die Unterauftragsverarbeiter i.d.R. beauftragt. Ein Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Verantwortlicher (hier i.d.R. die Auftraggeber) ist hingegen gemäß Art. 4 Nr. 7 DSGVO die Stelle, die allein oder gemeinsam mit anderen über die Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheidet. Hierbei kommt es maßgeblich auf die Entscheidung über die Verarbeitungszwecke an, während die Entscheidung über die technisch-organisatorischen Fragen der Verarbeitung auch auf den Auftragsverarbeiter delegiert werden kann.
Der Auftragsverarbeiter wird als „verlängerter Arm“ des Verantwortlichen in dessen Auftrag tätig. Er übt zwar die tatsächliche Herrschaft über den Verarbeitungsprozess aus, entscheidet aber nicht selbst über die Zwecke und Mittel der Verarbeitung. Vielmehr agiert er nach Weisung des Verantwortlichen, also ohne eigenen Wertungs- und Entscheidungsspielraum. Im Gegenzug muss sich der Verantwortliche dann das Handeln des Auftragsverarbeiters so zurechnen lassen, als sei dieser Teil seiner eigenen Organisation. Beispiele hierfür sind IT-Dienstleister, Cloud-Anbieter oder z.B. Callcenter.
Was sind Unterauftragsverarbeiter nach der DSGVO?
Unterauftragsverarbeiter sind weitere Unternehmen, die vom Auftragsverarbeiter zur Erfüllung seiner vertraglichen Verpflichtungen gegenüber dem Verantwortlichen eingesetzt werden. Dies bedeutet, dass der Auftragsverarbeiter bestimmte Aufgaben an einen anderen Dienstleister weitergibt, der dann als Unterauftragsverarbeiter tätig wird im Rahmen der Auftragsverarbeitung.
Beispiele für Unterauftragsverarbeiter:
- Rechenzentrumsbetreiber: Ein IT-Dienstleister, der Daten im Auftrag eines Unternehmens verarbeitet, kann einen Rechenzentrumsbetreiber beauftragen, die Daten zu speichern.
- Cloud-Services: Ein Unternehmen nutzt die Dienste eines Cloud-Anbieters wie Amazon Web Services (AWS) oder Microsoft Azure zur Speicherung und Verarbeitung von Daten.
- Sub-Callcenter: Ein Callcenter, das im Auftrag eines Unternehmens Kundensupport bietet, kann Teile dieser Dienstleistung an ein anderes Callcenter auslagern.
- Drittanbieter-Software: Ein IT-Dienstleister könnte einen weiteren Anbieter für spezielle Softwarelösungen beauftragen, die notwendig sind, um die vertraglichen Dienstleistungen zu erbringen.
Keine Unterauftragsverarbeitung ist allerdings eine Dienstleistung, die der Auftragsverarbeiter nicht ausschließlich für die Auftragsverarbeitung einsetzt und für die nur er selbst die Mittel und Zwecke festlegt. Dann wird der Auftragsverarbeiter als sogenannter „getrennt Verantwortlicher“ betrachtet und ist somit allein verantwortlich für diese beauftragte Dienstleistung/Verarbeitung. In der Praxis werden also nicht alle Dienstleister per se als Unterauftragsverarbeiter klassifiziert, welche der Auftragsverarbeiter einsetzt. Das könnte zum Beispiel der Fall sein bei Post- und Telekommunikationsdienstleistungen. Solche Dienstleister müssen auch nicht im Auftragsverarbeitungsvertrag erwähnt werden.
Voraussetzungen zur Einbeziehung von Unterauftragsverarbeitern
Die DSGVO legt klare Regeln fest, wann und wie Unterauftragsverarbeiter in einen AVV einbezogen werden müssen. Die wichtigsten Anforderungen sind:
- Erlaubnis durch den Verantwortlichen: Der Auftragsverarbeiter darf nur dann Unterauftragsverarbeiter einsetzen, wenn der Verantwortliche dem ausdrücklich zugestimmt hat. Diese Zustimmung kann entweder pauschal für alle zukünftigen Unterauftragsverarbeiter oder spezifisch für jeden einzelnen Unterauftragsverarbeiter erfolgen.
- Vertragliche Regelungen: Zwischen dem Auftragsverarbeiter und dem Unterauftragsverarbeiter muss ebenfalls ein AVV bestehen, der die gleichen Datenschutzpflichten wie der ursprüngliche AVV zwischen dem Verantwortlichen und dem Auftragsverarbeiter enthält. Dies umfasst insbesondere die Maßnahmen zur Datensicherheit und den Schutz der Rechte der betroffenen Personen.
- Information und Zustimmung: Der Verantwortliche muss über den Einsatz von Unterauftragsverarbeitern informiert werden. Bei pauschaler Zustimmung ist der Auftragsverarbeiter verpflichtet, den Verantwortlichen über jede beabsichtigte Änderung hinsichtlich der Hinzuziehung oder Ersetzung von Unterauftragsverarbeitern zu informieren. Der Verantwortliche hat das Recht, gegen solche Änderungen Einspruch zu erheben.
Weitere Anforderungen an einen AVV finden Sie in diesem Beitrag.
Best Practice: Dokumentation und Transparenz
Um den Anforderungen der DSGVO gerecht zu werden, sollten alle Vereinbarungen und Änderungen hinsichtlich der Unterauftragsverarbeiter sorgfältig dokumentiert werden. Transparenz und eine klare Kommunikation zwischen dem Verantwortlichen und dem Auftragsverarbeiter sind hierbei unerlässlich. Es sollte also auch eine gewisse Historie über die Nachweise und Überprüfungen über die Dauer der Auftragsverarbeitung gepflegt werden, um die Rechenschaftspflicht und Nachweispflicht als Verantwortlicher zu erfüllen.
Fazit
Die Einbeziehung von Unterauftragsverarbeitern in einen Auftragsverarbeitungsvertrag unterliegt strengen Vorschriften gemäß der Art. 28 und 29 DSGVO. Verantwortliche müssen sicherstellen, dass sie die Kontrolle über die Verarbeitung ihrer Daten behalten und dass alle beteiligten Parteien den Datenschutzanforderungen gerecht werden. Durch sorgfältige Auswahl, vertragliche Regelungen und kontinuierliche Überwachung kann ein hoher Datenschutzstandard gewährleistet werden. Falls Sie Fragen zum Einsatz von Unterauftragsverarbeitern oder zur Umsetzung der DSGVO haben, stehen wir Ihnen gerne zur Verfügung.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.