EDSA: Stellungnahme zu Auftragsverarbeitungsketten

30. Oktober 2024

Die Auftragsverarbeitung spielt eine zentrale Rolle im Rahmen der DSGVO. Doch insbesondere bei langen Auftragsverarbeitungsketten, in denen mehrere Subverarbeiter eingebunden sind, stellt sich für Verantwortliche die Frage, wie sie ihren datenschutzrechtlichen Pflichten nachkommen können. Der Europäische Datenschutzausschuss (EDSA) hat am 07.10.2024 auf Anfrage der dänischen Aufsichtsbehörde eine Stellungnahme angenommen, in der er wichtige Klarstellungen zu Auftragsverarbeitungsketten liefert.

Das Problem der Übersichtlichkeit

Ein Auftragsverarbeiter ist eine Person oder Organisation, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet, wobei der Verantwortliche die Zwecke und Mittel der Datenverarbeitung festlegt. In der Praxis bleibt es jedoch selten bei einem einzelnen Auftragsverarbeiter. Häufig beauftragt dieser wiederum Subverarbeiter, die ebenfalls Dritte hinzuziehen können. So entstehen lange Verarbeitungsketten mit mehreren Akteuren, die personenbezogene Daten erhalten. Die Herausforderung für den Verantwortlichen besteht darin, den Überblick über alle beteiligten Subverarbeiter zu behalten und sicherzustellen, dass auf allen Ebenen der Kette die datenschutzrechtlichen Anforderungen erfüllt werden. Deshalb hat die dänische Datenschutzbehörde den EDSA angerufen und ihm sechs Frage zu unübersichtigen Auftragsverarbeitungsketten, insbesondere zur Rechenschaftspflicht von Verantwortlichen, gestellt.

Rechenschaftspflicht bleibt bestehen

Nach Art. 5 Abs. 2 Datenschutzgrundverordnung (DSGVO) bedeutet die Rechenschaftspflicht, dass Verantwortliche für die Einhaltung der datenschutzrechtlichen Grundsätze verantwortlich sind und die Einhaltung auch nachweisen können müssen. Dazu gehört nach Art. 24 Abs. 1 DSGVO auch die Pflicht beim Einsatz von Auftragsverarbeitung die Einhaltung dieser Grundsätze sicherzustellen und nachweisen zu können. Der EDSA betont in seiner Stellungnahme (abrufbar hier), dass die Rechenschaftspflicht auch bei langen Ketten bestehen bleibt. Der Verantwortliche hat die volle Kontrolle über die Datenverarbeitung und muss alle Akteure überwachen.

Transparenz- und Dokumentationspflichten

Eine der Hauptanforderungen, die der EDSA in seiner Stellungnahme hervorhebt, ist die Pflicht des Verantwortlichen, die Identität und die Tätigkeiten sämtlicher Auftrags- und Unterauftragsverarbeiter zu kennen. Diese Informationen muss der Auftragsverarbeiter zur Verfügung stellen, ständig aktualisieren und über Änderungen informieren. Diese Pflichten sollten bereits im Auftragsverarbeitungsvertrag festgelegt werden. Hierdurch wird sichergestellt, dass die Rechte der Betroffenen gewahrt bleiben und auf Anfragen der Betroffenen nach Art. 15 DSGVO korrekt geantwortet werden kann.

Kontroll- und Überprüfungspflichten

Verantwortliche sind nicht nur zur Dokumentation verpflichtet, sondern müssen auch sicherstellen, dass in der gesamten Auftragsverarbeitungskette das gleiche Datenschutzniveau herrscht. Der Verantwortliche trägt die Verantwortung für die Auswahl der Subverarbeiter und muss deren Eignung hinsichtlich der Einhaltung der DSGVO überprüfen. Laut EDSA darf der Verantwortliche jedoch auf die Informationen des Auftragsverarbeiters vertrauen, sofern diese vollständig und klar sind. Bei Zweifeln oder Unklarheiten muss der Verantwortliche jedoch selbst nachprüfen und sicherstellen, dass ausreichende Garantien gemäß Art. 28 DSGVO vorliegen.

Prüfung von Subverarbeitungsverträgen

Ein zentraler Punkt der EDSA-Stellungnahme ist die Frage, ob der Verantwortliche systematisch alle Verträge mit Subverarbeitern einsehen muss. Das sicherzustellende Schutzniveau sinke nicht abhängig von der Stufe der Auftragsverarbeitung, sondern bleibe auf allen Ebenen bestehen. Allerdings müsse der Verantwortliche die jeweiligen Verträge nur bei berechtigten Zweifeln einsehen. Grundsätzlich darf sich der Verantwortliche auf die Zusicherung des Auftragsverarbeiters verlassen, dass die Datenschutzstandards auch an Subverarbeiter weitergegeben werden. Nichtsdestotrotz bestünde bezüglich der Verträge ein Einsichtsrecht.

Datenübermittlungen in Drittländer

Bei der Übermittlung personenbezogener Daten an Auftragsverarbeiter in Drittländern müssen Verantwortliche die Einhaltung der Vorgaben aus Art. 44 ff. DSGVO sicherstellen. Dies beinhaltet zunächst die Pflicht, sämtliche geplanten Datenübermittlungen in Drittländer zu dokumentieren. Um dieser Pflicht nachzukommen, empfiehlt sich eine vertragliche Regelung, die den Auftragsverarbeiter verpflichtet, alle Übermittlungen in Drittländer offenzulegen und eine solche Vereinbarung auch mit seinen Unterauftragsverarbeitern zu treffen. Sodann müssen Verantwortliche kontrollieren, was der Anlass für die Datenübermittlung ist und ob ausreichende Garantien für die Datenverarbeitung im Ausland bestehen.

Fazit

Die Stellungnahme des EDSA zu Auftragsverarbeitungsketten unterstreicht, dass Verantwortliche bei der Wahl und Überwachung ihrer Auftragsverarbeiter besonders sorgfältig vorgehen müssen. Es reicht nicht aus, die Verantwortung auf den Auftragsverarbeiter zu übertragen. Vielmehr müssen Verantwortliche sicherstellen, dass in jeder Stufe der Verarbeitungskette die datenschutzrechtlichen Standards eingehalten werden. Dafür sollte zunächst ein genauer Überblick über sämtliche Auftrags- und Unterauftragsverarbeiter bestehen. Zudem sollten Verantwortliche entsprechende Prozesse etablieren, die eine Einhaltung der datenschutzrechtlichen Anforderungen auf allen Stufen gewährleisten. Hierbei können sie sich aber zumindest auf eine ordnungsgemäß durchgeführte und ohne Zweifel bestehende Prüfung ihrer Auftragsverarbeiter verlassen. Als Externe Datenschutzbeauftragte helfen wir Ihnen gerne beim Aufsetzen praxistauglicher Auftragsverarbeitungsverträge und der Implementierung interner Kontrollverfahren weiter.