Europäischer Datenschutzausschuss konkretisiert Anforderungen an Unternehmen beim Einsatz von Auftragsverarbeitern und Unterauftragsverarbeitern

Transparenz in der Verarbeitungskette: Wer muss identifiziert werden?

Verantwortliche müssen jederzeit Kenntnis über die Identität aller eingesetzten Auftragsverarbeiter und Unterauftragsverarbeiter entlang der gesamten Verarbeitungskette haben, und zwar nicht nur über die erste Ebene. Dazu gehören Name, Anschrift, Ansprechpartner und eine Beschreibung der jeweiligen Verarbeitungstätigkeit. Dies gilt unabhängig von dem mit der Verarbeitungstätigkeit verbundenen Risiko. 

Bereits bei Vertragsschluss sollte eine vollständige Liste aller genehmigten (Unter-)Auftragsverarbeiter vorliegen, die regelmäßig aktualisiert wird. Diese Transparenz ist auch für die Erfüllung von Auskunftsersuchen und im Fall von Datenschutzverletzungen essenziell.

Überprüfungspflicht: Wie tief muss geprüft werden?

Der Verantwortliche ist gemäß Art. 5 Abs. 1 DSGVO für die Einhaltung der Datenschutzgrundsätze verantwortlich und muss deren Einhaltung nachweisen können (Grundsatz der Rechenschaftspflicht). Das gilt auch, wenn er Auftragsverarbeiter oder Unterauftragsverarbeiter mit der Verarbeitung personenbezogener Daten in seinem Namen betraut, und zwar für die gesamte Verarbeitungskette.

Nach Ansicht des EDSA müssen Verantwortliche prüfen und dokumentieren, ob alle (Unter-)Auftragsverarbeiter „hinreichende Garantien“ für die Einhaltung der DSGVO bieten. Die Prüfungspflicht besteht unabhängig vom mit der jeweiligen Verarbeitung verbundenen Risiko. Dagegen kann jedoch der Umfang der Prüfung je nach Risikoeinschätzung variieren. Bei geringem Risiko genügt eine weniger eingehende Prüfung, während bei hohem Risiko eine vertiefte Prüfung bis hin zur Einsicht in Unterauftragsverträge erforderlich sein kann. Grundsätzlich darf sich der Verantwortliche dabei auf die Informationen verlassen, die er vom „ersten“ Auftragsverarbeiter in der Verarbeitungskette erhält. Eine systematische Einsichtnahme in sämtliche Unterauftragsvereinbarungen ist nicht zwingend erforderlich, es sei denn, es bestehen Zweifel an der Einhaltung datenschutzrechtlicher Vorgaben oder eine Aufsichtsbehörde verlangt dies.

Drittlandübermittlungen: Besondere Anforderungen bei internationalen Datenflüssen

Werden personenbezogene Daten durch einen (Unter-)Auftragsverarbeiter in ein Drittland übermittelt, verbleibt der Verantwortliche für das Schutzniveau verantwortlich. Es gelten sowohl die Pflichten aus Art. 44 ff. DSGVO als auch aus Art. 28 Abs. 1 DSGVO. Durch die Übermittlung darf der durch die DSGVO garantierte Schutz personenbezogener Daten nicht untergraben werden.

Praktische Schwierigkeiten bei der Kontrolle der Einstellung von Unterauftragsverarbeitern durch den Auftragsverarbeiter (insbes. bei Drittlandübermittlung) entbinden den Verantwortlichen nicht von seinen Pflichten zur Sicherstellung eines angemessenen Datenschutzniveaus. Die Übermittlung ist zu dokumentieren und einer Prüfung durch den Verantwortlichen zu unterziehen. Der EDSA empfiehlt hierzu ein zweistufiges Vorgehen. Unabhängig vom Übermittlungsgrund sollte der Verantwortliche in einem ersten Schritt volle Kenntnis von allen beabsichtigten Übermittlungen haben (sog. „Know your Transfers“). Hierzu sollte er sicherstellen, dass eine Übermittlungskartierung durch den (Unter-)Auftragsverarbeiter vorgenommen wird. Aus dieser muss hervorgehen, welche personenbezogenen Daten übermittelt werden, wohin und für welchen Zweck. Im zweiten Schritt ist zu prüfen, auf welcher Rechtsgrundlage eine Übermittlung erfolgt und ob im Drittland hinreichende Garantien für den Datenschutz bestehen.

Die EDSA-Stellungnahme verschärft die Anforderungen an Transparenz, Kontrolle und Dokumentation beim Einsatz von (Unter-)Auftragsverarbeitern erheblich. Letztlich bleibt der Verantwortliche für jeden Verstoß im Zusammenhang mit dem Einsatz von (Unter-)Auftragsverarbeiter verantwortlich und kann dafür haftbar gemacht werden. Eine stets aktuelle Liste aller eingesetzten (Unter-)Auftragsverarbeiter sowie eine fortlaufende Überprüfung der hinreichenden Garantien – angepasst an das jeweilige Risiko – ist unerlässlich. Vertragliche Prüf- und Einsichtsrechte in Unterauftragsvereinbarungen ermöglichen es, diesen Pflichten nachzukommen.