Zum Inhalt springen Zur Navigation springen
Auftragsdatenverarbeitung: Weisungs- und Kontrollrechte im Unterauftragsverhältnis

Auftragsdatenverarbeitung: Weisungs- und Kontrollrechte im Unterauftragsverhältnis

Die Auftragsdatenverarbeitung nach § 11 BDSG dürfte mit Sicherheit unter den Top 3 Themen im deutschen Datenschutzrecht rangieren. Der klassische Fall betrifft die Beziehung von Auftraggeber (A) zu Auftragnehmer (B). Fast immer spielt aber auch eine weitere Stelle eine gewichtige Rolle, der Unterauftragnehmer (C). Doch wie lassen sich in einem solchen Dreiecksverhältnis die Weisungs- und Kontrollrechte abbilden?

Einführung

Auch der Unterauftragnehmer kann wiederum weitere Stellen bei der Erfüllung der Aufgaben aus dem Auftragsverhältnis beauftragen (D, E usw.). Die rechtliche Grundlage für die Einschaltung von Subauftragnehmern findet sich in § 11 Abs. 2 Nr. 6 BDSG. Danach dürfen Regelungen zur Begründung von Unterauftragsverhältnissen im Vertrag zur Auftragsdatenverarbeitung getroffen werden.

Konstellation mit einem Unterauftragnehmer

In diesem Beitrag soll exemplarisch eine typische Dreier-Konstellation betrachtet werden:

  • Auftraggeber (A)
  • Auftragnehmer (B)
  • Unterauftragnehmer (C)

Verantwortliche Stelle

Die erste Frage, die sich Unternehmen in der Rolle des (B) im Verhältnis zu C stellen, ist die nach der Verantwortlichkeit für die Datenverarbeitung. Nimmt man hier die zahlreichen im Netz verfügbaren Muster zur Auftragsdatenverarbeitung zur Hand, kann es passieren, dass (B) vorschnell als „verantwortliche Stelle“ i.S.d. § 3 Abs. 7 BDGS eingetragen wird. Dies ist jedoch nicht ganz richtig.

Zwar ist (B) im Rahmen seiner Auftragnehmerverantwortung Auftraggeber des (C) und insoweit für sein Handeln auch verantwortlich. Dies macht ihn jedoch nicht zur Verantwortlichen Stelle i.S.d. § 3 Abs.7 BDSG. Verantwortliche Stelle bleibt bei einer Auftragsdatenverarbeitung immer der Auftraggeber, hier also (A).

Weisungs- und Kontrollrechte

Die wesentlichen Fragen betreffen bei Konstellationen mit einem oder mehreren Unterauftragnehmern aber die dem Auftraggeber (A) zustehenden Weisungs- und Kontrollrechte. Hierzu findet sich ein sehr anschaulicher Aufsatz der Rechtsanwälte Dr. Bongers und Dr. Krupna in der Zeitschrift RDV 2014 Heft 1 Seite 19ff mit dem Titel: „Der Subauftragnehmer im Rahmen der Auftragsdatenverarbeitung – Weisungs- und Kontrollrechte in einer Auftragskette“.

Der Aufsatz stellt drei Modelle vor, wie die Weisungs- und Kontrollrechte des Auftraggebers (A) gegenüber dem Unterauftragnehmer (C) ausgeübt werden können und beleuchtet die Vor- und Nachteile.

Durchgriffsmodell

Ausgehend von dem Grundgedanken, dass der Auftraggeber (A) als verantwortliche Stelle stets Herr der Datenverarbeitung ist (sein soll) und jeder Auftragnehmer als helfender verlängerter Arm eingesetzt wird, wird dem (A) hier ein direktes Weisungs- und Kontrollrecht bei (C) eingeräumt. Dies führt dazu, dass (C) ausschließlich von (A) geführt und kontrolliert wird. (B) als Auftragnehmer bleibt hier außen vor.

Der Wunsch des Auftraggebers, Weisungen und Kontrollen direkt beim Unterauftragnehmer vornehmen zu können, wird in der Beratungspraxis immer wieder geäußert. Allerdings lässt dieses Modell den Auftragnehmer (B) komplett außen vor. Damit entspricht es nicht dem Grundgedanken des BDSG. Denn dieses sieht vor, dass (B) eigene Unterauftragsverhältnisse mit eigenen Weisungs- und Kontrollrechten abschließen kann.

Stufenmodell

Nach diesem Modell erfolgt eine Weisung des (A) an den (B). (B) erteilt Weisungen an (C), eine bestimmte Handlung datenschutzrechtlicher Art vorzunehmen (Weisung in Stufen). (B) ist im Verhältnis zu (C) eigenständiger Auftraggeber, während (A) sog. Überauftraggeber zu (C) wäre. Hier erfolgt kein direkter Durchgriff auf (C) durch (A). Gleichermaßen verhält es sich mit Kontrollen. Diese werden von dem jeweiligen Vertragspartner durchgeführt. Da zwischen (A) und (C) kein eigenständiges Vertragsverhältnis besteht, kann (A) nur (B) kontrollieren, bzw. (B) anweisen den (C) zu kontrollieren. Hierbei kann er grundsätzlich im Rahmen seines Weisungsrechtes gegenüber (B) die Art der Kontrollen bei (C) vorschreiben, sodass er die Herrschaft über die Daten nicht verliert.

Es ist also festzustellen, dass sowohl der Auftraggeber (A) verantwortliche Stelle ist, als auch der Auftragnehmer (B) Verantwortung im Rahmen seiner Auftraggeberrolle gegenüber (C) trägt. (B) ist dabei aber allen Weisungen des (A) gebunden und nicht etwa als verantwortliche Stelle i.S.d. § 3 Abs. 7 BDSG einzuordnen.

Mehr-Auftraggeber-Modell

Dieses Modell stellt eine Kombination des Durchgriffs- und Stufenmodells dar. Hierbei bleibt (C) den Weisungen und Kontrollen des (A) direkt unterworfen, muss sich aber auch den Weisungen und Kontrollen des (B) aussetzen. Er muss in diesem Fall sowohl den Weisungen des (A) als auch des (B) Folge leisten. Ein Auseinanderfallen der Weisungen ist faktisch nicht möglich, da (B) den Unterauftragnehmer (C) nur so anweisen könnte, wie er selbst von (A) angewiesen wurde.

Das Mehr-Auftraggeber-Modell dürfte in der Praxis unter Umständen sehr schwer umzusetzen sein, da es einen hohen Aufwand bei der Vertragsgestaltung bedeutet. So müssten im Vertrag zwischen (B) und (C) die Weisungs- und Kontrollrechte des konkreten Auftraggebers (A) geregelt werden. Zudem müsste aus Transparenzgründen jede Stelle mit Auftraggeberqualität in der Auftragskette konkret benannt werden. Bei einem Wechsel der Vertragsparteien erfordert dies immer eine Anpassung der Verträge. Aus diesen Gründen ist das Modell mit gewissen Schwierigkeiten behaften, kann jedoch im Einzelfall auch ein angmessenes Modell sein.

Professionelle Unterstützung

Aufgrund der Komplexität der Thematik ist dringend anzuraten, Ihren (externen) betrieblichen Datenschutzbeauftragten frühzeitig zu konsultieren.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.