Zum Inhalt springen Zur Navigation springen
EDSA: Pflichten bei Auftragsverarbeitungsketten

EDSA: Pflichten bei Auftragsverarbeitungsketten

Der Europäische Datenschutzausschuss (EDSA) veröffentlichte am 07. Oktober 2024 auf Anfrage der Dänischen Aufsichtsbehörde eine Stellungnahme zum Thema Auftragsverarbeitung. Dabei stehen die Pflichten des Verantwortlichen beim Einsatz langer Auftragsverarbeitungsketten im Mittelpunkt.

Lange Auftragsverarbeitungsketten

Die dänische Aufsichtsbehörde ersuchte den EDSA um eine Stellungnahme zu offenen Fragen der Auftragsverarbeitung. Die insgesamt sechs Fragen bezogen sich u.a. auf die Rechenschaftspflicht von Verantwortlichen innerhalb von undurchsichtigen Verarbeitungsketten.

Zum Hintergrund: Setzt ein Verantwortlicher einen Auftragsverarbeiter im Rahmen seiner Datenverarbeitung ein, bleibt es meist nicht bei diesem einen Datenempfänger. Denn auch der Auftragsverarbeiter bedient sich regelmäßig sogenannter Unterauftragsverarbeiter, welche wiederum selbst weitere Dienstleister als Auftragsverarbeiter einspannen können. Dabei entstehen mitunter lange Auftragsverarbeitungsketten und eine Reihe potenzieller Datenempfänger. Je länger diese Kette der Datenempfänger ist, desto undurchsichtiger wird sie für den Verantwortlichen. Zu Recht stand die Frage im Raum, welche Rechenschaftspflichten gemäß Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO den Verantwortlichen in solchen Fällen eigentlich noch treffen.

Den Überblick über die Auftragsverarbeiter behalten!

Der EDSA betont, dass der Verantwortliche auch bei langen Auftragsverarbeitungsketten seine zentrale Rolle beibehält. Er setzt die Zwecke und Mittel der Verarbeitung fest und hat die eingesetzten Subverarbeiter durch eine schriftliche Genehmigung nach Art. 28 Abs. 2 DSGVO vor ihrer Einbindung zu bestätigen.

Um Transparenzpflichten und Anfragen von Betroffenen gerecht werden zu können, ist es für den Verantwortlichen essenziell, dass die Identität (d.h. der Name samt Anschrift) und die Tätigkeiten aller Auftragsverarbeiter und Unterauftragsverarbeiter dokumentiert und für ihn einfach zugänglich sind. Die Informationen müssen vom Auftragsverarbeiter bereitgestellt und mögliche Änderungen proaktiv mitgeteilt werden. Die konkreten Mitteilungspflichten sollten dabei im Auftragsverarbeitungsvertrag geregelt sein.

Pflicht zur Überprüfung und Kontrolle

Der Verantwortliche habe dem Ausschuss zufolge die datenschutzrechtlichen Pflichten für die Verarbeitungen in der gesamten Kette an Auftragsverarbeitern zu erfüllen. Die Verantwortung für die Auswahl der Subverarbeiter, deren Prüfung und Kontrolle obliegt demnach ihm. In seiner Stellungnahme stellt der EDSA hierfür klar, dass auf jeder Stufe der Auftragsverarbeitung das gleiche Schutzniveau zu gewährleisten ist.

Der Verantwortliche hat also zu prüfen, ob die Akteure der Verarbeitungskette ausreichende Garantien im Sinne des Art. 28 DSGVO bieten, wobei der Umfang der Garantien vom jeweiligen Verarbeitungszweck und dem aus der Verarbeitung resultierenden Risiko für die Betroffenen abhängt. Er kann sich dabei zwar auf die Informationen und die Prüfung des Auftragsverarbeiters verlassen, muss allerdings selbst Nachprüfungen vornehmen, wenn es Unklarheiten oder gar Widersprüche gibt.

„Dies bedeutet, dass der für die Verarbeitung Verantwortliche sich auf die von seinem Auftragsverarbeiter erhaltenen Informationen verlassen und diese gegebenenfalls ausbauen kann. Scheinen beispielsweise die von dem für die Verarbeitung Verantwortlichen erhaltenen Informationen unvollständig oder ungenau zu sein oder werfen sie Fragen auf, sollte der für die Verarbeitung Verantwortliche gegebenenfalls unter Berücksichtigung der Umstände des Falles, einschließlich des mit der Verarbeitung verbundenen Risikos, zusätzliche Informationen anfordern und/oder die Informationen überprüfen und erforderlichenfalls vervollständigen/korrigieren.“ (Rn. 59, Übers. d. Verf.)

Ist die Prüfung aller Verträge notwendig?

Der Auftragsverarbeiter ist zunächst gesetzlich und vertraglich verpflichtet, dieselben Datenschutzstandards aus dem Vertrag mit dem Verantwortlichen an seine Subverarbeiter weiterzugeben; das sagt bereits Art. 28 Abs. 4 S. 1 DSGVO. Dem Verantwortlichen obliegt wieder die Pflicht sicherzustellen, dass diese vertraglichen Pflichten innerhalb der gesamten Kette eingehalten werden.

Stellt sich nun die Frage, ob sich der Verantwortliche alle Verträge mit Subverarbeitern vorlegen lassen muss. Die Antwort des EDSA hierzu: Nein.

Der Stellungnahme zufolge sei eine aktive Prüfpflicht des Verantwortlichen nur bei Zweifeln an der Einhaltung der Pflichten nach Art. 28 DSGVO erforderlich. Ein Recht auf Vorlage hat der Verarbeiter gegenüber dem Auftragsverarbeiter gleichwohl.

„Der für die Verarbeitung Verantwortliche ist jedoch nicht verpflichtet, systematisch die Unterverarbeitungsverträge anzufordern, um zu prüfen, ob die im ursprünglichen Vertrag vorgesehenen Datenschutzverpflichtungen in der Verarbeitungskette weitergegeben wurden.“ (Rn. 69, Übers. d. Verf.)

Auftragsverarbeitungen in Drittländern

Der EDSA setzt sich zudem mit dem Fall auseinander, dass unter den Auftragsverarbeitern Übermittlungen in Drittländer stattfinden. Die Frage der dänischen Behörde war auch hier: Wie weit reicht die Pflicht des Verantwortlichen, das Schutzniveau für die personenbezogenen Daten im Empfängerland zu überprüfen?

Die Antwort des EDSA: Auch hier habe der Verantwortliche die Einhaltung der Pflichten nach Art. 44 ff. DSGVO zu gewährleisten.

Um den datenschutzrechtlichen Anforderungen gerecht zu werden, muss der Verantwortliche daher in einem ersten Schritt alle beabsichtigten Datenübermittlungen in Drittländer erfassen. Hierbei bietet sich die Vereinbarung einer Mitteilungspflicht im Vertrag mit seinem Auftragsverarbeiter an, der wiederum angewiesen werden sollte, diese Pflicht an seine Unterauftragsverarbeiter weiterzugeben. In einem zweiten Schritt hat der Verantwortliche sodann zu überprüfen, aus welchem Grund die Daten in Drittländer übermittelt werden und ob hinreichende Garantien für die Verarbeitung im Drittstaat existieren.

Der Umfang der Prüfungspflicht des Verantwortlichen richtet sich hier ebenfalls danach, ob der Auftragsverarbeiter bereits eine verlässliche Prüfung vorgelegt hat und welches Risiko mit der jeweiligen Verarbeitung für die Betroffenen einhergeht.

Bedeutung der Stellungnahme

Insgesamt sind folgende wesentliche Punkte der Stellungnahme herauszustellen, die die Verantwortlichen, aber auch die Auftragsverarbeiter zu beachten haben:

  • Verantwortliche sollten Klarheit in dem Geflecht ihrer (Unter-)Auftragsverarbeiter schaffen, eine Auflistung bei Ihren Auftragsverarbeitern anfordern und diese aufgrund ihrer dahingehend bestätigten Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO dokumentieren.
  • Verantwortliche können sich nicht davon freisprechen, was auf den weiteren Stufen einer Verarbeitungskette mit den personenbezogenen Daten passiert – Sie tragen weiterhin die Verantwortung für jede Stufe.
  • Daher müssen sie den Kontroll- und Prüfpflichten in der gesamten Kette nachkommen. Eine eigene Prüfung aller Unter-Auftragsverarbeiter der gesamten Kette müssen sie aber nicht selbst durchführen. Stattdessen können sie sich grundsätzlich auf eine bereits erfolgte Prüfung durch ihre Auftragsverarbeiter verlassen, sofern keine berchtigten Zweifel oder besonderen Risiken der Verarbeitung dagegen sprechen.
  • Es ist insgesamt eine enge Zusammenarbeit mit dem Auftragsverarbeiter der „ersten Reihe“ gefragt. Diesem sind vor einem Vertragsschluss die Prüf- und Informationspflichten zu verdeutlichen, die wiederum an weitere Unterauftragsverarbeiter weiterzugeben sind.

Auftragsverarbeitung: Eine Wahl mit Folgen

Die Stellungnahme des EDSA verdeutlicht, dass die Entscheidung zum Einsatz eines Auftragsverarbeiters folgenreich sein kann und je nach Länge der Verarbeitungskette viele Pflichten für den Verantwortlichen nach sich zieht. Die Verantwortlichen sind in jedem Fall gehalten, eine enge Beziehung zu ihren Auftragsverarbeitern zu pflegen und diese mit Bedacht zu wählen. Daneben sollten Verantwortliche und ihre Auftragsverarbeiter die einzelnen Regelungen im Auftragsverarbeitungsvertrag konkretisieren, um etwaige Unstimmigkeiten über die Reichweite der einzelnen Pflichten während der Vertragsbeziehung zu vermeiden.

Webinar zum Thema „Auftragsverarbeitung“

Wenn Sie Ihr Fachwissen für den Unternehmensalltag weiter vertiefen möchten, besuchen Sie doch unser Webinar „Auftragsverarbeitung in der Praxis – AVV im nationalen und internationalen Kontext“. Dort wird Ihnen gezeigt, welche wesentlichen Punkte beachtet werden müssen. Wir freuen uns, Sie begrüßen zu dürfen!

Mittwoch, den 27.11.2024
von 09:30 bis 12:00 Uhr

Hier können Sie sich anmelden

Das Kleingruppenformat ist sehr praxisbezogen gestaltet und bietet anhand eines fiktiven Szenarios viele Best-Practice-Beispiele für die Umsetzung in Ihrem Unternehmen.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2025B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2025.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.