In der Geschäftswelt werden keine Bündnisse für die Ewigkeit geschlossen. Das Unternehmen bezieht den Datenschutzbeauftragten zwar regelmäßig ein, wenn initial ein neuer Geschäftspartner im Zusammenhang mit der Verarbeitung personenbezogener Daten ausgewählt wird. Hierbei wirft dieser auch ein Auge auf die eingesetzten Subdienstleister. Wie ist aber damit umzugehen, wenn der Geschäftspartner neue Subdienstleister einsetzen will oder der Geschäftspartner selbst sich umfirmiert? Dieser Beitrag gibt Ihnen einen Überblick darüber, welche DSGVO-Pflichten Sie in solchen Fällen zu beachten haben.
Der Inhalt im Überblick
Änderungen beim Geschäftspartner ohne DSGVO-Relevanz
Nicht jede Änderung beim Geschäftspartner lässt bei Ihrem Datenschutzbeauftragten die Alarmglocken schlagen. So ist es unproblematisch, wenn sich nur die Gesellschaftsform und/oder der Gesellschaftsname nach außen hin ändert, ohne dass sich „intern“ tatsächliche Änderungen ergeben. Dies ist beispielsweise denkbar, wenn eine „Muster GmbH“ sich zu „Beispiel GmbH“ umbenennt, ohne hierbei Mitglied einer Unternehmensgruppe zu werden.
Personelle Änderungen, z.B. bei der Geschäftsleitung oder des Datenschutzbeauftragten, ziehen ebenfalls keine datenschutzrechtlichen Aufgaben nach sich. Sie müssen lediglich ggf. intern die Kontaktdaten aktualisieren.
Die Änderung der Gesellschaftsform ist für die DSGVO auch grundsätzlich belanglos. DSGVO-Pflichten sind nicht an eine bestimmte Art von juristischer Person gebunden. Die Änderung kann aber ggf. Rückschlüsse darauf geben, ob der Geschäftspartner neuerdings einem Konzern angehört oder seinen Verarbeitungsort verlagert. Dies kann dann doch wiederum DSGVO-relevant sein.
Änderungen beim Geschäftspartner mit DSGVO-Relevanz
Umfirmierung des Geschäftspartners
Wenn eine Verschmelzung zweier oder mehr Unternehmen erfolgt und/oder der Dienstleister in eine Unternehmensgruppe eingegliedert wird, können sich hieraus datenschutzrechtliche Prüfpflichten ergeben. In diesen Fällen muss geprüft werden, ob sich der Ort der bisherigen Datenverarbeitung verändern könnte. Dies ist beispielsweise denkbar, weil neue Firmenstandorte hinzukommen und die Datenverarbeitungsprozesse dorthin verlagert werden. Aber auch wenn der Hauptstandort der Konzernmutter mit dem bisherigen Standort des Dienstleisters nicht übereinstimmt. Insbesondere wenn die Datenverarbeitungen nunmehr außerhalb der EU/EWR erfolgen oder in sonstiger Weise ein Drittlandsbezug entstehen könnte, muss ggf. erneut geprüft werden, ob die Voraussetzungen von Artikel 44 ff. DSGVO gewahrt werden. Falls innerhalb eines Konzerns gewisse Datenverarbeitungsprozesse an andere Konzerngesellschaften übertragen werden, handelt es sich sehr wahrscheinlich um einen neuen Subdienstleister bzw. Unterauftragsverarbeiter.
Auftragsverarbeiter oder gemeinsam Verantwortlicher will neue Subdienstleister einsetzen
Insbesondere im Auftragsverarbeitungsvertrag finden sich ausführliche Regularien darüber, unter welchen Voraussetzungen der Auftragsverarbeiter die Datenverarbeitung an einen Unterauftragsverarbeiter bzw. Subdienstleister ausgliedern darf. Artikel 28 Abs. 2 und 4 DSGVO geben hierzu den Rahmen insoweit vor, dass die Einbindung neuer Subdienstleister „die gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen“ bedarf und dass dem Subdienstleister durch Abschluss eines (Unter-)Auftragsverarbeitungsvertrages „oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten“ aufzuerlegen sind.
Gerade der erst genannte Punkt lässt aber gewissen Verhandlungsspielraum. So kann es sein, dass Ihr Geschäftspartner Ihre ausdrückliche Zustimmung zum Einsatz des Subdienstleister einholen muss oder es genügt die Information über den geplanten Einsatz neuer Subdienstleister und Sie können dann binnen einer gesetzten Frist Widerspruch hier gegen einlegen. So oder so sollten Sie nochmal Ihren geschlossenen Auftragsverarbeitungsvertrag schmökern und nachlesen, unter welchen Bedingungen eine Änderung der Subdienstleister erfolgen darf. Falls datenschutzrechtliche Bedenken gegen den neuen Subdienstleister bestehen und man sich hierüber nicht einigen kann, dann hat dies die Beendigung des Auftragsverarbeitungsverhältnisses zur logischen Konsequenz.
Für den Inhalt des Vertrages zur gemeinsamen Verantwortlichkeit macht Artikel 26 DSGVO kaum Vorgaben. Wenn ein solcher geschlossen wird, ist es aber auch hier sinnvoll, die Konditionen der Einbeziehung von Subdienstleistern zu vereinbaren. Insoweit gilt dann hier Entsprechendes wie beim Auftragsverarbeitungsverhältnis.
Eigenverantwortlicher Geschäftspartner will neue Subdienstleister einbinden
Nicht jede Geschäftsbeziehung stellt ein Auftragsverarbeitungsverhältnis oder gemeinsame Verantwortlichkeit dar. Daneben ist es auch denkbar, dass der Geschäftspartner gar keine personenbezogenen Daten – hauptzweckmäßig – verarbeitet oder diese jedenfalls nur eigenverantwortlich verarbeitet, z.B. externe Reinigungsfirmen, Berufsgeheimnisträger wie Wirtschaftsprüfer, Anwälte etc. bei der Erbringung Ihrer Fachleistung.
Selbst wenn Sie erfahren sollten, dass diese neue Subdienstleister einsetzen (z.B. ein Wechsel des Anbieters für Videokonferenztools, E-Mail-Software, Clouddienstleister), tangiert das nicht die eigene Verantwortlichkeit. Ergo ergeben sich hieraus datenschutzrechtlich keine erforderlichen Schritte. Es verbleibt natürlich der eigenen Entscheidung, dennoch Datenschutzbedenken gegen die neuen Subdienstleister zu äußern und dann entsprechende Konsequenzen für die Geschäftsbeziehung zu ziehen. Eine Pflicht ergibt sich aber nicht aus der DSGVO.
Insolvenz des Geschäftspartners
Es ist auch denkbar, dass ein Insolvenzverfahren gegen den Geschäftspartner eröffnet wird. In diesem Falle wird ein Insolvenzverwalter dem insolventen Geschäftspartner zur Verfügung gestellt, der wiederum nach § 80 Abs. 1 Insolvenzordnung (InsO) allein über das zur Insolvenzmasse gehörende Vermögen verwalten und verfügen darf. In § 103 InsO wird dem Insolvenzverwalter auch ein Wahlrecht hinsichtlich der Vertragserfüllung eingeräumt:
„(1) Ist ein gegenseitiger Vertrag zur Zeit der Eröffnung des Insolvenzverfahrens vom Schuldner und vom anderen Teil nicht oder nicht vollständig erfüllt, so kann der Insolvenzverwalter anstelle des Schuldners den Vertrag erfüllen und die Erfüllung vom anderen Teil verlangen.
(2) (…)“
Das Verhältnis zwischen dem Schuldner (= insolventer Geschäftspartner) und dem Insolvenzverwalter lässt sich datenschutzrechtlich nur schwer einordnen, siehe hierzu auch den Artikel Insolvenzverwalter und die DSGVO – eine schwierige Beziehung. In der Rechtsprechung wurde sich bislang mit den Fragen zu Auskunftsansprüchen durch und gegen den Insolvenzverwalter gewidmet, z. B. 6 C 10.19. Urteil vom 16.9.2020, Aktenzeichen:
Im Falle der Insolvenz ist jedenfalls zu klären, ob die vereinbarten Datenverarbeitungen (z. B. bei IT-Dienstleistungen) bis zum Abschluss des Insolvenzverfahrens fortgesetzt werden und falls ja, inwieweit der Insolvenzverwalter Zugriff auf die personenbezogenen Daten erhält. Die Rechtsabteilung und der Datenschutzbeauftragte müssen dann abstimmen, welche datenschutzrechtlichen Schritte zu ergreifen sind.
Fragen an den Geschäftspartner
Folgende Fragen sollten Sie sich bei Änderungen von Ihrem Geschäftspartner beantworten lassen:
- Ändert sich der Verarbeitungsort der personenbezogenen Daten?
Falls ja, welche Datenarten betrifft dies konkret und wo werden die personenbezogenen Daten zukünftig verarbeitet? - Ergeben sich Änderungen hinsichtlich der eingesetzten Unterauftragsverarbeiter oder der Datenempfänger?
Falls ja, wurden erforderliche Verträge nach der DSGVO geschlossen? - Falls die personenbezogenen Daten zukünftig außerhalb der EU/EWR verarbeitet werden, wie werden die Artikel 44 ff. DSGVO konkret gewahrt?
- Ergeben sich sonstige Änderungen an den Verarbeitungsprozessen (z. B. hinsichtlich des Umfangs der Datenverarbeitung oder den technischen und organisatorischen Maßnahmen)?
Anhand der Antworten muss dann überprüft werden, ob die Fortführung der Geschäftsbeziehung datenschutzrechtlich vertretbar ist. Falls man dies zunächst verneint, sollte man dem Geschäftspartner seine Datenschutzbedenken unverzüglich mitteilen. Unter Umständen lassen sich diese seitens der Geschäftspartner ausräumen, indem beispielsweise erforderliche Subauftragsverarbeitungsverträge geschlossen werden. Falls der Geschäftspartner solche Maßnahmen in Aussicht stellt, sollten diese zu Beweiszwecken zumindest in Textform dokumentiert werden. Wir wissen ja, nur wer schreibt, der bleibt. Zudem sollte auch eine Umsetzungsfrist vereinbart bzw. abgesprochen werden. Andernfalls besteht die Gefahr, dass die Maßnahmen mangels entsprechender Priorisierung nicht zeitnah umgesetzt werden und daher die Datenschutz bedenklichen Umstände lange fortbestehen. Bis zur Umsetzung besteht für den Datenverantwortlichen ein rechtliches Risiko, daher empfiehlt sich die Aussetzung der Datenverarbeitungsprozesse, bis alles geklärt werden konnten.
Weitergehende datenschutzrechtliche Schritte
Falls es keine datenschutzrechtlichen Bedenken an der Fortführung der Geschäftsbeziehung bestehen, dann ist noch an folgende Aufgaben zu denken:
- Aktualisierung des Verarbeitungsverzeichnis nach Artikel 30 Abs. 1 und 2 DSGVO
- ggf. Aktualisierung der Liste an Auftragsverarbeiter
- ggf. Aktualisierung der Datenschutzhinweise
- ggf. Durchführung einer Transfer Impact Assessments
- ggf. Durchführung oder Aktualisierung einer Datenschutz-Folgenabschätzung (DSFA) nach Artikel 35 DSGVO
Die meisten Punkte hiervon lassen sich bei einem gut geführten Datenschutzmanagementsystem leicht umsetzen.
Die Aktualisierung von Datenschutzhinweisen ist dann angezeigt, wenn in diesen zuvor die eingesetzten Dienstleister bzw. Datenempfänger namentlich benannt wurde. Wenn lediglich die Kategorien hierzu benannt wurden, bedarf es theoretisch keiner Textanpassung.
Es ist eher unwahrscheinlich, dass eine DSFA erstmalig durchzuführen ist. Dies wäre nur denkbar, wenn der Verarbeitungsprozess sich wesentlich verändert. Realistischer ist es, dass das Unternehmen bereits in der Vergangenheit eine DSFA durchführte und nun zu untersuchen sein wird, ob sich durch die Änderung beim Geschäftspartner neue Risiken für die Rechte und Freiheiten der betroffenen Personen ergeben. Dann muss hierfür entsprechend geprüft werden, wie diese Risiken auf ein datenschutzrechtlich vertretbares Niveau reduziert werden können.
Prozesse helfen für den Überblick
Der Beitrag hat gezeigt, dass eine Änderung beim Geschäftspartner nicht nur für die Rechtsabteilung spannend ist. Der Datenschutzbeauftragte ist selten die erste Person im Unternehmen, die von etwaigen Änderungen bei Geschäftspartnern erfährt. Daher ist es unablässig, im Unternehmen Prozesse im Vertragsmanagement zu etablieren, damit dieser rechtzeitig eingebunden wird.
Es muss im Unternehmen klar geregelt sein, welche Abteilungen zu informieren, welche Prozesse anzustoßen sind und wer zuständig, bzw. befugt ist, im Namen des Unternehmens vertragsändernde Erklärungen abzugeben. So kann beispielsweise eine Änderung oder die Kündigung bestehender Verträge durch Änderungen beim Geschäftspartner erforderlich werden. Oder es müssen gar neue Verträge geschlossen werden (z.B. die EU-Standardvertragsklauseln bei Datenverarbeitungen in Drittländern ohne bestehenden Angemessenheitsbeschluss).
Bei der Prüfung von technischen und organisatorischen Maßnahmen empfiehlt sich auch die Hinzuziehung der IT-Experten im Unternehmen. Der Datenschutzbeauftragte muss letztlich untersuchen, welche datenschutzrechtlichen Schritte erforderlich sind, damit der Geschäftspartner die personenbezogenen Daten weiterhin verarbeiten darf.