In der heutigen, arbeitsteiligen Welt kommt es oft vor, dass Auftragsverarbeiter wie Cloudanbieter Teile ihrer Dienstleistung nicht selbst erbringen, sondern Subunternehmer einsetzen. Das kann zu ganzen Ketten an Unterauftragsverhältnissen führen. Was dabei zu beachten ist, schauen wir uns im Folgenden an.
Der Inhalt im Überblick
Was ist zu beachten bei Einsatz von Unterauftragnehmern?
Grundsätzlich ist der Auftragsverarbeiter zur eigenhändigen Leistungserbringung verpflichtet. Er darf daher nur unter besonderen Voraussetzungen die Datenverarbeitung an Dritte weiterreichen, d.h. anders als nach § 278 BGB dürfen Auftragsverarbeiter nicht nach Belieben Erfüllungsgehilfen einsetzen. So soll verhindert werden, dass das Datenschutzniveau, das zwischen Verantwortlichen und Auftragsverarbeiter vereinbart wurde, durch das Weiterreichen der Datenverarbeitung unterlaufen wird.
Zentral sind die Vorschriften des Art. 28 Abs. 2 und 4 DSGVO:
- Art. 28 Abs. 2 DSGVO (Genehmigung durch den Verantwortlichen)
- Art. 28 Abs. 4 DSGVO (Einstandspflicht des Auftragsverarbeiters)
Die erhöhten Anforderungen gelten jedoch nur, wenn durch den Einsatz von Subunternehmern besondere Risiken für den Verantwortlichen und die betroffenen Personen entstehen. Die Beschränkungen gelten daher nicht, wenn die weiteren Subunternehmer keine Auftragsverarbeiter sind, sondern nur sonstige Hilfstätigkeiten erbringen.
Die Begriffe „weitere Auftragsverarbeiter“ und „Unterauftragnehmer“ werden in der Folge gleichbedeutend verwendet.
Genehmigung weiterer Auftragsverarbeiter
Nach Art. 28 Abs. 2 DSGVO muss sich ein Auftragsverarbeiter den Einsatz von weiteren Auftragsverarbeitern genehmigen lassen. Anders als aus § 183 S. 1 BGB bekannt, bedeutet Genehmigung hier allerdings nicht die nachträgliche Zustimmung, sondern die Einwilligung im Vorfeld.
Nach dem Wortlaut gibt es zwei Arten der Genehmigung: Die Genehmigung kann entweder im Einzelfall gesondert erteilt werden, d.h. konkret bezüglich des für den Einzelfall gestatteten Unterauftragsverarbeiters, oder aber im Vorhinein in allgemeiner Weise, bei der dem Auftragnehmer nur gewisse Vorgaben für seine Auswahl gemacht werden. Das ist soweit klar aus dem Gesetz erkennbar.
Alle Unterauftragnehmer genehmigungsbedürftig?
Fraglich ist, ob der Verantwortliche in der gesamten Kette der Unterauftragnehmer die Genehmigung erteilen muss. Art. 28 Abs. 2 S. 1 DSGVO spricht insoweit ganz generell von „weiteren Auftragsverarbeitern“.
Das könnte in der Praxis zu enormen Ketten von genehmigungsbedürftigen Unter-Unter-Unter-…- Auftragsverarbeitern führen. Wenn beispielsweise ein Clouddienstleister aus den USA einen Subunternehmer aus Indien mit der Erbringung einer Dienstleistung beauftragt und dieser wiederrum einen Freelancer mit der Erbringung eines Teils der Dienstleistung – z.B. Wartung – beauftragt. In einer extrem arbeitsteiligen Welt mit Dienstleistern rund um den Globus ist eine durchgängige Genehmigung daher oft kaum zu bewerkstelligen.
Genau diese durchgängige Genehmigungsbedürftigkeit legt der weit gefasste Wortlaut des Art. 28 Abs. 2 DSGVO jedoch nach Meinung mancher Experten nahe, da er keine Einschränkung enthält. Man hätte ansonsten die Genehmigungsbedürftigkeit auf den Unterauftragsverarbeiter des Auftragsverarbeiters beschränken können.
Eine durchgehende Genehmigungsbedürftigkeit macht auch Sinn, weil sonst die Interessen des Verantwortlichen gefährdet werden könnten, wenn er die Kontrolle über die Verarbeitung verliert. Er soll also im wahrsten Sinne des Wortes Verantwortlicher die Entscheidung über das „Wie“ und „Wo“ der Verarbeitung in den Händen halten. Will ein Unterauftragnehmer also einen weiteren Unterauftragnehmer einsetzen, so bedarf es nach dem Wortlaut der Zustimmung aller in der Verarbeitungskette vor ihm stehenden.
Das ist aus Erfahrung im Berateralltag jedoch in der Praxis oft nur schwer umsetzbar. Gerade bei Verhandlungen mit großen Anbietern hat man häufig nicht die Verhandlungsposition, um den Einsatz aller Unterauftragnehmer in der Kette von der Genehmigung abhängig zu machen.
Vertrag mit den Unterauftragnehmern
Hier ist die Frage, welche Pflichten aus dem Vertrag zwischen Verantwortlichen und Auftragsverarbeiter weitergereicht werden müssen. In Art. 28 Abs. 4 DSGVO heißt es hierzu:
„Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters in Anspruch, […] so werden diesem weiteren Auftragsverarbeiter … dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter […] .“
Den Unterauftragnehmer(n) müssen also dieselben Datenschutzpflichten auferlegt werden wie dem Auftragsverarbeiter. So soll verhindert werden, dass durch die Beauftragung von Unterauftragnehmern das Schutz- und Pflichtniveau durch Arbeitsteilung Stück für Stück abgesenkt wird. Daraus folgt aber auch, dass „dieselben Datenschutzpflichten“ nicht bedeutet, dass exakt ein Vertrag mit dem gleichen Wortlaut mit den Unterauftragnehmern geschlossen werden muss, sondern die Verpflichtung auf ein vergleichbares Schutzniveau ausreichend ist.
In vielen Fällen hat auch hier das EuGH-Urteil Schrems II weitere Herausforderungen mit sich gebracht. Seitdem sich Unternehmen nicht mehr auf das Privacy Shield berufen können, müssen Verantwortliche, deren Auftragsverarbeiter einen oder mehrere Subunternehmer in den USA einsetzt, mit diesen direkt EU-Standardvertragsklauseln abschließen. Denn das bisherige Klauselwerk kennt nur die Konstellation (EU-) controller to (Non-EU/EEA) processor, nicht aber die Konstellation processor-to-processor. Diese wird erst in den von der Kommission kürzlich vorgeschlagenen Entwürfen für neue Standardvertragsklauseln berücksichtigt. Bis die neuen EU-Standardvertragsklauseln endgültig verabschiedet werden, kann aber noch etwas Zeit vergehen.
Haftung des Auftragsverarbeiters
Kommt einer der Unterauftragnehmer seinen Pflichten nicht nach, haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen (Einstandspflicht) nach Art. 28 Abs. 4 S. 2 DSGVO:
„Kommt der weitere Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.“
Der erste Auftragsverarbeiter hat also ein ureigenes Interesse, die Pflichten der Auftragsverarbeitung an alle weiteren Auftragsverarbeiter weiterzureichen. Der Verantwortliche kann im Gegenzug aber nicht auf die weiteren (Unter-) Auftragsverarbeiter durchgreifen.
Durch diese Regelung wird die Schwierigkeit des Verantwortlichen, alle Unterauftragnehmer zu kontrollieren, Rechnung getragen, indem er sich an seinen direkten Vertragspartner wenden kann, um diesen für Verletzung der Datenschutzpflichten in Anspruch zu nehmen.
Kontrollen bei weiteren Auftragsverarbeiter
Es wird diskutiert, ob der Verantwortliche ein direktes Prüfrecht bei den Unterauftragnehmern hat (Durchgriffsprüfrecht). Wie wir oben gesehen haben, sieht der Art. 28 Abs. 4 S. 1 DSGVO vor, dass Unterauftragnehmern dieselben Datenschutzpflichten auferlegt werden müssen wie in dem Vertrag zwischen Verantwortlichen und Auftragsverarbeiter. Es wird aber offengelassen, ob damit auch das Recht zu direkten Kontrollen einhergeht.
Gegen ein solches Prüfrecht spricht aber, dass der Verantwortliche durch die Haftungsregelung in Art. 28 Abs. 4 Satz 2 DSGVO sich bei Verstößen von Unterauftragnehmer immer bei dem Auftragsverarbeiter schadlos halten kann. Ein Kontrollrecht braucht er dann konsequenter Weise nicht, weil ja der Auftragsverarbeiter für Verstöße entlang der Kette von Unterauftragnehmern haftet.
Das entspricht auch den Empfehlung der deutschen Aufsichtsbehörden zu Cloud Computing zur alten Rechtslage nach § 11 Abs. 2 S. 4 BDSG alt:
„Besteht eine Erlaubnis zur Beauftragung von Unter-Anbietern, […] muss dann derselbe Kontrollmaßstab gelten wie im Verhältnis zwischen Cloud-Anwender und Cloud-Anbieter. […] Weiterhin sollte der Cloud-Anbieter gegenüber dem Cloud-Anwender vertraglich verpflichtet sein, auf Verlangen vorhandene Nachweise zu Zertifizierungen bzw. Datenschutz-Gütesiegeln der Unter-Anbieter vorzulegen.“
Es reicht also aus, wenn dem Verantwortlichen zum Nachweis des Datenschutzniveaus Zertifikate oder Auditberichte vorgelegt werden.
Zwischen Theorie und Praxis
Zwischen Theorie und Praxis liegen Welten oder zumindest ist in der Praxis manches schwer umzusetzen, was im Gesetz ganz einfach klingt.
Die Regelungen des Art. 28 DSGVO sollen sicherstellen, dass das Datenschutzniveau gewahrt werden, wenn Datenverarbeitungen ausgelagert werden. Das bringt Genehmigungsbedürfnisse und Kontrollrechte bei der Weiterreichung von Datenverarbeitungen an Unterauftragnehmer mit sich. Sonst könnte das Schutzniveau einfach unterlaufen werden.
Was hier in der Theorie absolut einleuchtend führt in der Praxis oft zu schwierigen Verhandlungen, weil die Ketten der Datenverarbeitung weitverzweigt und weltumspannend sind.
Knifflige Fragen der Praxis wie diese gibt es bei der Auftragsverarbeitung unzählige. Informieren Sie sich über unsere interaktiven und praxisnahen Webinare und vertiefen Sie Ihr Praxiswissen. Hier finden Sie unsere verfügbaren Termine zur Auftragsverarbeitung.
Hallo Herr Kötter, ich stimme mit Ihren Ausführungen zu den Auditrechten eines Verantwortlichen bei Unterauftragsverarbeitern überein. Nur so ist es auch praktikabel. Gibt es aber hierzu noch weitere Literatur oder sogar Aussagen von Datenschutzbehörden, die dies stützen? Ich würde mich sehr über ein Rückmeldung freuen.
Danke für die tolle Arbeit die Ihr leistet, hier bekommt man sehr gute Informationen, die sehr nützlich sein können.
Lieben Gruß Mia