Die DSGVO macht Vorgaben dazu, welche Anforderungen für Auftragsverarbeitungsverträge mit Dienstleistern gelten und unter welchen Voraussetzungen weitere Unterauftragnehmer, sog. Subdienstleister eingesetzt werden dürfen. Sofern ein Subdienstleister in Krisen kurzfristig gewechselt werden muss, kann die gesetzliche Genehmigungspflicht zu erheblichen Verzögerungen führen. Dieser Beitrag betrachtet die gängige Praxis beim Thema Subdienstleistereinsatz sowie Lösungsmöglichkeiten für den Fall, dass ein kurzfristiger Subdienstleisterwechsel im Krisenfall erforderlich ist.
Der Inhalt im Überblick
Allgemeine Genehmigung für Subdienstleisterwechsel
Art. 28 Abs. 2 DSGVO bestimmt eine Genehmigungspflicht und sieht vor:
„Der Auftragsverarbeiter nimmt keinen weiteren Auftragsverarbeiter ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen in Anspruch. Im Fall einer allgemeinen schriftlichen Genehmigung informiert der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben.“
Damit nicht ständig auf gesonderte Genehmigung gewartet werden muss, hat sich in der Praxis ein pragmatischer Ansatz etabliert. Für die Subdienstleister, die bei Vertragsschluss bereits im Einsatz sind, wird mit Unterzeichnung des AVV die Genehmigung erteilt. Für weitere Subdienstleister, die in der Zukunft eingesetzt werden, wird die „allgemeine Genehmigung“ in Kombination mit einem Einspruchsrecht vereinbart.
Das bedeutet, dass aber weiterhin dem ursprünglichen Auftraggeber in einem begrenzten zeitlichen Rahmen das Recht zugestanden wird, Einspruch gegen die Datenverarbeitung durch einen weiteren Dienstleister zu erheben. In der Praxis hat sich ein Zeitrahmen von meist 2-4 Wochen entwickelt, in dem die Möglichkeit besteht, Einspruch zu erheben. Teilweise werden auch kürzere Fristen vereinbart.
Wie lässt sich ein kurzfristiger Subdienstleisterwechsel in Krisen durchführen?
Die vorgestellte Ausgestaltung ist notwendig, um den gesetzlichen Anforderungen zu entsprechen. Letztendlich bleibt der ursprüngliche Auftraggeber verantwortlich für die Datenverarbeitung, weshalb er auch Einfluss auf die Subdienstleister haben soll. In Krisensituationen und Notfällen entsteht hierdurch aber eine schwierige Ausgangslage. Wie kann ein Dienstleister reagieren, wenn der bisherige Subdienstleister ausfällt und man sofortigen Ersatz benötigt, um die im Service Level Agreement vereinbarten vertraglichen Pflichten gegenüber den eigenen Kunden zu erfüllen? Die im Vertrag üblichen Einspruchsfristen abzuwarten, dauert in solchen Situationen häufig zu lang. In Krisenfällen ist sofortiges Handeln gefordert, um zu gewährleisten, dass die vertraglich geschuldeten Leistungen weiterhin erbracht werden können. Unter Umständen muss der neue Subdienstleister auch gerade eingesetzt werden, um einen Angriff zu beenden oder bei dessen Aufarbeitung zu unterstützen.
Option 1: Ersatzregelung oder Mehrstufige Dienstleisterregeln
Wenn schon feststeht, dass besonders kritische Teile der Dienstleistung ausgelagert werden müssen, lohnt es sich, bereits bei Abschluss der AVV einen Ersatzdienstleister aufzunehmen und mit Vertragsunterzeichnung von der mit Unterzeichnung gegebenen Genehmigung umfassen zu lassen. Dies ist prinzipiell auch in Form einer mehrstufigen Beauftragung denkbar. Daneben kann es auch sinnvoll sein, zu prüfen, inwiefern die bereits eingesetzten Dienstleister gegebenenfalls „einspringen“ könnten, falls ein anderer Dienstleister kurzfristig ausfällt.
Vorteil ist, dass ein Ausweichen auf den Ersatz sofort möglich sein wird. Nachteil ist, dass nicht immer im Vorfeld schon feststeht, welcher Ersatz zur Verfügung steht, Verträge, etc. müssen geschlossen werden. Die Auswahl eines geeigneten Ersatzdienstleisters wird nicht immer zeitnah möglich sein. Dies gilt insbesondere, wenn ggf. besondere vergaberechtliche Anforderungen oder interne Prozesse bestehen. Dadurch wird diese Option aufwändig und zeitintensiv. Sie ist damit nicht immer interessengerecht.
Option 2: Einstufung als Subdienstleister infrage stellen
Die gesetzliche Notwendigkeit zur Zustimmung von neuen Dienstleistern aus Art. 28 Abs. 2 DSGVO ergibt sich nur in Bezug auf „weitere Auftragsverarbeiter“, die Tätigkeiten erbringen, die als Auftragsverarbeitungstätigkeiten einzustufen sind und nicht bei Dienstleistern, die nur sonstige Hilfstätigkeiten ausüben.
Wenn dieses Kriterium verneint werden kann, gibt es keine vertragliche Notwendigkeit, dem Subdienstleisterwechsel genehmigen zu lassen. Verneint werden könnte ein Auftragsverarbeitungsverhältnis beispielsweise bei Nebenleistungen, die der Auftragnehmer z. B. als Telekommunikationsleistungen, Post-/Transportdienstleistungen und Reinigung in Anspruch nimmt. Es lohnt sich, bei gegebenem Anlass sich damit auseinanderzusetzen, ob ein Dienstleisterwechsel überhaupt angezeigt werden muss. Wenn der ausgefallene Dienstleister keinen wesentlichen Teil der im AVV geschuldeten Datenverarbeitung leistet, oder die Rolle als weiterer Auftragsverarbeiter aus anderen Gründen abgelehnt werden kann, kommt es auf die oben besprochene Genehmigung nicht an.
Option 3: Vertragliche Beschränkung des Einspruchsrechts
In manchen Auftragsverarbeitungsverträgen finden sich inhaltliche Einschränkung des Einspruchsrechts. Es wird z. B. teilweise vereinbart, dass der Einspruch nur in begründeten Fällen und bei ernsthaften Zweifeln an der Zuverlässigkeit des neuen Dienstleisters möglich sein soll.
Wenn der Subdienstleister jedoch schnell gewechselt werden muss, ist es auch eine Überlegung wert, ob nicht in Absprache mit dem Auftraggeber bzw. den Auftraggebern ein kurzfristiger Wechsel des Subdienstleisters herbeigeführt werden kann. Dabei stellt sich die Frage, ob man nicht dies nicht durch eine vergleichbare vertragliche Einschränkung schriftlich fixieren kann. Es wäre zum Beispiel denkbar, eine Art „Notfallklausel“ zu vereinbaren, um die Einspruchsmöglichkeiten für gewisse Fälle einzuschränken, etwa wenn die geschuldete Dienstleistung andernfalls nicht mehr geleistet werden kann. Man könnte auch überlegen, die Einspruchsfrist bei Notfällen auf wenige Tage oder Stunden zu reduzieren, um im Zweifel schnell handeln zu können. Sofern vertragliche Regelungen den gesetzlichen Rahmen verlassen, besteht allerdings das Risiko, dass solche Regelungen unwirksam sind.
Risiken bei der vertraglichen Beschränkung des Einspruchsrechts
Behördliche Stellungnahmen und Auslegungen sprechen eher dagegen, dass eine vertragliche Einschränkung der Einspruchsmöglichkeit des Auftraggebers in Form einer Ausnahme von dem Genehmigungserfordernis oder einer erheblichen Reduzierung der Einspruchsfrist einer gerichtlichen oder aufsichtsbehördlichen Überprüfung standhalten würden.
Vom BayLDA wird Art. 28 Abs. 2 so ausgelegt, dass dieser eine
„ausdrückliche, einzelfallbezogene Information des Auftragsverarbeiters gegenüber dem Verantwortlichen, die diesem auch tatsächlich die Entscheidung ermöglicht, die beabsichtigte Unter-Auftragsverarbeitung abzulehnen oder zu genehmigen“
erfordert. (vgl. OH BayLDA Auftragsverarbeitung, S.18). Dies lässt vermuten, dass diese Aufsichtsbehörde einer Einschränkung der Einspruchsmöglichkeit eher kritisch gegenüberstehen würde.
Auch in der EDSA Leitlinie zur Auftragsverarbeitung, wird ein angemessener Zeitrahmen verlangt. Dieser müsse
„im Hinblick auf die Art der Verarbeitung, die Komplexität der dem Auftragsverarbeiter (und den Unterauftragsverarbeitern) übertragenen Tätigkeiten und die Beziehungen zwischen den Parteien angemessen sein“
vgl. EDSA Leitlinie zur Auftragsverarbeitung, Rz. 158. Angemessenheit kann nur gewährleistet werden, wenn die Benachrichtigung mit genügend Vorlauf vor dem Wechsel erfolgt, da ansonsten die Genehmigungsfiktion inhaltlich ausgehöhlt werden würde. Daneben ist auch zu berücksichtigen, dass vor dem Subdienstleisterwechsel auch eine entsprechende vertragliche Absicherung bestehen sollte welche Zeit benötigen kann, denn dem Subdienstleister müssen die Pflichten aus dem ursprünglichen Auftragsverarbeitungsvertrag weitergegeben werden, vgl. Art. 28 Abs. 4 DSGVO.
Vorsorge ist besser als Nachsorge
Wer sich als Auftragnehmer bei der Erbringung von wesentlichen Teilen seiner Dienstleistung auf Subdienstleister verlässt, sollte sich bereits im Vorfeld Gedanken darüber machen, wie ein Wechsel im Fall eines Ausfalls gestaltet werden kann.
Der Wechsel eines Subdienstleisters ist ein kritischer Vorgang, der gut vorbereitet und vertraglich geregelt sein sollte, um die Einhaltung der Service-Level-Agreements (SLA) und die Zufriedenheit des Kunden sicherzustellen. Empfehlenswert ist, AVV und SLA kritisch zu prüfen, um Konflikte zu vermeiden.
Interessantes Thema!
Könnte man nicht auch argumentieren, im Krisenfalle im Interesse der Betroffenen (bzw. deren Kunden) zu handeln, wenn man dann den Unterauftragsverarbeiter wechseln muss? Na ja, vermutlich nicht, weil Art. 28 Abs. 2 immer noch dagegenspricht.
Aber nehmen wir mal an, es wird in der Krise einfach ohne Genehmigung auf einen anderen Auftragsverarbeiter mit mindestens gleich hohen TOMs gewechselt: Wo wäre da der Schaden für die Verantwortlichen bzw. die Betroffenen? Oder anders gefragt: Sofern keine konkreten Vertragsstrafen im AVV vereinbart wurden: Welche Strafen müsste der Auftragsverarbeiter denn konkret befürchten?
Auch wenn ein Wechsel des Unterauftragsverarbeiters im Krisenfall erforderlich sein kann und im Vergleich zum Leistungsausfall vielleicht sogar „das kleinere Übel“ ist, bleibt es bei der gesetzlichen Regelung aus Art. 28 Abs. 2 DSGVO.
Unter anderem verleiht die DSGVO den Behörden Befugnisse, um gegen Verstöße vorzugehen. Bei Vorliegen der entsprechenden Voraussetzungen können im schlimmsten Fall behördliche Sanktionen zu befürchten sein. Wie streng dies im Einzelfall dann tatsächlich gehandhabt werden würde, hängt von einer Gesamtbetrachtung ab, bei der verschiedene Faktoren eine Rolle spielen. Mehr zum Thema Bußgelder und Sanktionen können Sie in unserem Blogbeitrag lesen.