Eine Person sichtet einen Vertrag und rauft sich die Haare

Kontrollpflichten bei (Ketten)-Auftragsverarbeitung

/von

Mit der Stellungnahme 22/2024 hat der Europäische Datenschutzausschuss (EDSA) wichtige Klarstellungen zur Rolle und Verantwortung von Verantwortlichen bei der Zusammenarbeit mit Auftragsverarbeitern getroffen. Insbesondere bei mehrstufigen Verarbeitungsprozessen, also dann, wenn nicht nur ein Auftragsverarbeiter, sondern zusätzlich auch Unterauftragsverarbeiter eingebunden sind, stellt sich häufig die Frage, wie weit die Kontrollpflichten des Verantwortlichen tatsächlich reichen. Der EDSA betont nun in aller Deutlichkeit: Die datenschutzrechtliche Verantwortung bleibt beim Verantwortlichen und ist weder delegierbar noch teilbar – auch nicht im Rahmen komplexer Dienstleisterketten (vgl. Art. 5 Abs. 2 DSGVO und Art. 24 Abs. 1 DSGVO).

Diese Einschätzung ist nicht nur rechtlich relevant, sondern hat unmittelbare Auswirkungen auf die Praxis in vielen Organisationen, insbesondere dort, wo externe IT-Dienstleistungen, Cloud-Services oder spezialisierte Subunternehmer zum Einsatz kommen. Kürzlich hatten wir bereits zu einem ähnlichen Thema einen Artikel veröffentlicht. Darin ging es primär um die Kontrolle des direkten (ersten) Auftragsverarbeiters. Der vorliegende Artikel befasst sich daher mit der Kontrollpflicht hinsichtlich weiterer Unterauftragsverarbeiter, die vom direkten Auftragsverarbeiter beauftragt wurden.

Verantwortung endet nicht beim direkten Vertragspartner

Ein zentrales Anliegen des EDSA ist es, das Bewusstsein dafür zu schärfen, dass die datenschutzrechtliche Verantwortung des Verantwortlichen nicht mit dem Abschluss eines Auftragsverarbeitungsvertrags endet. Vielmehr bleibt die Verpflichtung zur Kontrolle über die gesamte Verarbeitungskette hinweg bestehen. Der Verantwortliche ist also für jeden Teil der Verarbeitung verantwortlich, unabhängig davon, ob die Daten direkt vom Verantwortlichen verarbeitet oder durch eine Vielzahl von (Sub-)Auftragnehmern weitergegeben und von diesen verarbeitet werden. Die Position des EDSA stützt sich dabei insbesondere auf Art. 24 Abs. 1 DSGVO sowie Art. 28 DSGVO.

Demnach ist der Verantwortliche verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um sicherzustellen, dass sämtliche Verarbeitungen, die unter seiner Verantwortung durchgeführt werden, auch durch Dritte, im Einklang mit den Vorgaben der DSGVO stehen. Dies gilt in besonderem Maße für Situationen, in denen Auftragsverarbeiter ihrerseits weitere Dienstleister beauftragen, ohne dass der Verantwortliche über deren Identität oder deren Datenschutzmaßnahmen im Bilde ist.

Transparenz über die gesamte Verarbeitungskette erforderlich

Nach Ansicht des EDSA muss der Verantwortliche in der Lage sein, alle an der Verarbeitung beteiligten Akteur*innen zu identifizieren – also nicht nur den direkten Auftragsverarbeiter, sondern auch alle Unterauftragsverarbeiter. Diese Transparenz ist nicht nur aus Gründern der Kontrolle wichtig, sondern auch für die Wahrnehmung von Betroffenenrechte, etwa im Rahmen von Auskunftsanfragen nach Art. 15 DSGVO. Hier müssen betroffene Personen erfahren können, welche Empfänger*innen ihre Daten erhalten haben – und das schließt Subunternehmer mit ein.

In der Praxis bedeutet dies, dass Unternehmen bei der Auswahl und vertraglichen Einbindungen von Dienstleistern sicherstellen müssen, dass ihnen sämtliche Subdienstleister bekannt sind und dass sie vertraglich zugesichert bekommen, bei Änderungen informiert zu werden. Eine sogenannte „generelle Genehmigung“ im Sinne des Art. 28 Abs. 2 DSGVO kann demnach nur dann zulässig sein und funktionieren, wenn eine transparente Information über jeden Wechsel oder jede Neuaufnahme eines Subauftragnehmers erfolgt und der Verantwortliche im Einzelfall widersprechen kann. Dabei muss dann der Wechsel eines Subauftragnehmers beispielsweise in der vierten Ebene der Vertragskette eine Informationskette über alle Ebenen nach oben bis hin zum Verantwortlichen auslösen.

Risikoabhängige Kontrollpflichten – kein „One-Size-Fits-All“

Ein besonders praxisrelevanter Aspekt der Stellungnahme betrifft die Frage, in welchem Umfang der Verantwortliche Prüfungen der Verarbeitung durch Unterauftragsverarbeiter durchführen muss. Der EDSA macht deutlich, dass die Intensität der Prüfung vom Risiko der Verarbeitung abhängt.

Bei einem erhöhten Risiko, etwa bei der Verarbeitung besonders sensibler Daten gemäß Art. 9 DSGVO, bei umfangreichen Datenmengen oder bei kritischen IT-Systemen, kann es erforderlich sein, dass der Verantwortliche Einsicht in die Verträge mit Unterauftragsverarbeitern erhält oder sogar Audits durchführt. Dies gilt selbst dann, wenn eine direkte Vertragsbeziehung nicht besteht.

Im Gegensatz dazu kann bei einem niedrigen Risiko, etwa bei rein technischen Dienstleistungen ohne aktiven Zugriff auf personenbezogene Daten durch den Subdienstleister, eine regelmäßige Selbstauskunft oder ein Zertifikat des Subauftragsverarbeiters genügen. Dennoch bleibt auch hier eine Pflicht zur Plausibilisierung der Angaben bestehen.

Beispiel aus der Praxis:
Ein externer IT-Dienstleister gibt an, regelmäßig Sicherheitsüberprüfungen durchzuführen, kann dies jedoch nicht durch geeignete Nachweise oder Zertifizierungen belegen. In diesem Fall reichen die Angaben nicht aus, um als „hinreichende Garantie“ im Sinne von Art. 28 Abs. 1 DSGVO zu gelten. Der Verantwortliche wird also weitere Informationen einholen oder Prüfmaßnahmen durchführen müssen, um die Datenschutzkonformität fundiert einschätzen zu können.

Einblick in Unterauftragsverhältnisse und vertragliche Regelungen

Eine weitere wichtige Aussage des EDSA betrifft die Einsicht in die zwischen Auftragsverarbeitern und deren Subunternehmern geschlossenen Verträge. Verantwortliche müssen die Möglichkeit haben, diese Vereinbarungen einzusehen. Dies ist insbesondere dann wichtig, wenn konkrete Zweifel an der Datenschutzkonformität bestehen oder wenn Hinweise auf Sicherheitsmängel vorliegen.

Vertragliche Regelungen zwischen Verantwortlichen und Auftragsverarbeitern sollten daher explizit vorsehen, dass im Bedarfsfall die relevanten Passagen offengelegt werden können. Diese Möglichkeit ist nicht als Ausnahme, sondern als integraler Bestandteil einer verantwortungsvollen Auftragsverarbeitung zu verstehen.

Besonderheit Drittlandtransfer – zusätzliche Verantwortung

Ein besonders sensibler Bereich stellt der internationale Datentransfer dar. Der EDSA weist darauf hin, dass die Verantwortung für den rechtskonformen Transfer in ein Drittland nicht auf den Auftragsverarbeiter abgewälzt werden kann. Auch wenn der unmittelbare Dienstleister in der EU/EWR sitzt, kann es sein, dass Subdienstleister in Drittländern ansässig sind – mit allen datenschutzrechtlichen Folgen.

Grundsätzlich darf ein solcher Transfer nur erfolgen, wenn die Anforderungen aus Kapital V der DSGVO erfüllt sind. Liegt ein Angemessenheitsbeschluss der EU-Kommission vor (Art. 45 DSGVO), ist kein weiterer Nachweis erforderlich. Fehlt ein solcher Beschluss, müssen geeignete Garantien vorliegen (Art. 46 DSGVO) – etwa in Form von Standarddatenschutzklauseln.

Und, um es kurz zu halten: Auch für die Drittlandtransfers gilt die Regel, dass diese über die gesamte Vertragskette nach oben transparent gemacht und im Vertrag vereinbart werden müssen, analog zum Umgang mit (Sub-)Auftragsverarbeitern.

Zudem ist ein sogenanntes Transfer Impact Assessment (TIA) durchzuführen. Auch hier macht der EDSA deutlich, dass der Verantwortliche nicht lediglich auf die Durchführung durch den Auftragsverarbeiter vertrauen darf. Die Bewertung muss aktiv nachvollzogen und plausibilisiert werden – idealerweise dokumentiert im Rahmen des Verzeichnisses von Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DSGVO oder eines internen Risikoprozesses.

In eigener Sache: Smarte Kontrolle ohne Mehraufwand

Viele Verantwortliche kennen das Dilemma: Die Pflicht zur Kontrolle von Auftragsverarbeitern ist klar geregelt – die Umsetzung im Alltag jedoch oft ressourcenintensiv. Aus unserer Beratungspraxis heraus haben wir ein effizientes Prüfkonzept entwickelt, das genau hier ansetzt.

Kernbausteine: strukturierte Selbstauskunft und gezielte Folgeprüfung

Wir starten mit einem klar aufgebauten Fragenkatalog zur Selbstauskunft, der zentrale DSGVO-Pflichten abdeckt. Auffälligkeiten werten wir gezielt aus und begleiten bei Bedarf auch vertiefende Nachprüfungen – revisionssicher, risikoorientiert und mit minimalem Aufwand für Sie.

Ihr Vorteil

Verlässliche Erfüllung Ihrer Kontrollpflichten – ohne operative Überlastung. So behalten Sie den Überblick über Ihre Dienstleister und sind auch bei behördlichen Prüfungen auf der sicheren Seite.

Fazit: Kontrolle bleibt Pflicht – auch über mehrere Ebenen hinweg

Mit der Stellungnahme 22/2024 stellt der EDSA unmissverständlich klar, dass die datenschutzrechtliche Verantwortung des Verantwortlichen nicht an der Schnittstelle zum ersten Auftragsverarbeiter endet. Vielmehr muss über die gesamte Verarbeitungskette hinweg sichergestellt werden, dass die Anforderungen der DSGVO eingehalten werden.

Die Kontrollintensität kann zwar je nach Risiko variieren, vollständig verzichten dürfen Verantwortliche auf entsprechende Prüfungen jedoch nicht. Dies betrifft sowohl die Auswahl von Dienstleister als auch die regelmäßige Überprüfung bestehender Auftragsverhältnisse – einschließlich der eingesetzten Subdienstleister.