Die kleine Reihe: Auftragsverarbeitung Teil 3 Weisungsbefugnisse und Kontrollrechte
In Teil 3 unserer kleinen Reihe beschäftigen wir uns mit dem für die Auftragsverarbeitung kennzeichnenden Element der Weisungsbefugnis sowie den Kontrollrechten eines Auftraggebers.
Weisungsgebundenheit
Mit der Weisungsgebundenheit ist es nicht vereinbar, dass ein Dienstleister – über die eigentliche Dienstleistung hinaus – eigene Interessen an den personenbezogenen Daten verfolgt. Wer selbst (auch) über den Zweck und über wesentliche Aspekte der Mittel der Datenverarbeitung bestimmt, ist in Bezug auf die Datenverarbeitung nicht ein dem Verantwortlichen untergeordneter Auftragsverarbeiter. Das betrifft insbesondere den Fall einer rechtswidrigen Überschreitung der Weisungen des Verantwortlichen durch den Auftragsverarbeiter. In Bezug auf eine solche Verarbeitung gilt der Auftragsverarbeiter selbst als Verantwortlicher mit den daraus folgenden Verpflichtungen. Auch wer gemeinsam mit dem Verantwortlichen über Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt, ist nicht Auftragsverarbeiter. Gemäß Art. 26 Abs.1 DSGVO ist er neben dem (gegebenenfalls Haupt-) Verantwortlichen (weiterer) Verantwortlicher („gemeinsam Verantwortliche“). Ein Beispiel ist die Zusammenarbeit in Unternehmens-Netzwerken. Gemeinsam Verantwortliche müssen in einer Vereinbarung in transparenter Weise festlegen, wer von ihnen welche datenschutzrechtlichen Pflichten erfüllt (Art. 26 Abs. 1 Satz 2 DSGVO).
Umgang mit Betroffenenanfragen
Trotz der Auslagerung von Aufgaben an einen Auftragsverarbeiter bleibt der Verantwortliche für die Datenverarbeitung nach außen, also Betroffenen und Dritten gegenüber, in vollem Umfang verantwortlich. Praktisch bedeutet dies: Soweit ein Betroffener (derjenige, dessen Daten verarbeitet werden) ein Datenschutzrecht, z.B. Auskunft, Berichtigung, Löschung oder Widerruf, unmittelbar gegenüber dem Auftragsverarbeiter geltend macht, hat der Auftragsverarbeiter dieses Ersuchen unverzüglich an den Verantwortlichen weiterzuleiten. Der Auftragsverarbeiter darf auf solche Betroffenenanfragen niemals selbst reagieren, es sei denn, es gibt anderslautende Regelungen im zugrunde liegenden Auftragsverarbeitungsvertrag. Ohne eine solche vertragliche Regelung würde sich der Auftragsverarbeiter sonst wie ein Verantwortlicher verhalten und seine Weisungsgebundenheit unterlaufen.
Unterstützungsfunktion des Auftragsverarbeiters
Allerdings haben Auftragsverarbeiter eine Unterstützungsfunktion zu erfüllen: Der Verantwortliche kann sich seinen Verpflichtungen gegenüber Betroffenen (Kapitel III der DSGVO) nicht dadurch entziehen, dass er auf die Einbindung eines Auftragsverarbeiters verweist. Bindet er einen Auftragsverarbeiter ein, muss er mit diesem eine Unterstützungspflicht vereinbaren, wenn er seinen Verpflichtungen nicht alleine nachkommen kann oder will. Der Auftragsverarbeiter muss dann den Verantwortlichen im Rahmen seiner Möglichkeiten bei der Erfüllung der Anfragen und Ansprüche Betroffener sowie bei der Einhaltung der in Art. 32 bis 36 DSGVO genannten Pflichten – z.B. der Datenschutz-Folgenabschätzung oder der Meldung von Datenpannen – unterstützen.
Weisungs- und Kontrollrechte im Unterauftragsverhältnis
Der klassische Fall betrifft die Beziehung zwischen einem Verantwortlichen zu seinem direkten Auftragsverarbeiter. Häufig ist es aber so, dass der erste Auftragsverarbeiter (Auftragnehmer) weitere Auftragsverarbeiter, sog. Unterauftragnehmer, einsetzt. Wie lassen sich in einem solchen Dreiecksverhältnis die Weisungs- und Kontrollrechte abbilden? Hierzu gibt es verschiedene Modelle, mit denen sich dieses Mehrparteienverhältnis abbilden lässt.
Durchgriffsmodell
Wichtig ist dabei immer, sich den Grundsatz in Erinnerung zu rufen, dass der Verantwortliche stets „Herr der Datenverarbeitung“ zu sein hat und jeder Auftragnehmer lediglich als helfender verlängerter Arm eingesetzt wird.
Ausgehend davon kann ein direktes Weisungs- und Kontrollrecht beim Unterauftragsverarbeiter eingeräumt werden. Dies führt dazu, dass der Unterauftragsverarbeiter ausschließlich vom Verantwortlichen geführt und kontrolliert wird. Der direkte Auftragnehmer bleibt außen vor.
Stufenmodell
Vorzuziehen ist daher das sog. Stufenmodell: Nach diesem Modell erfolgt eine Weisung des Verantwortlichen an den unmittelbaren Auftragnehmer. Dieser erteilt Weisungen an den oder die Unterauftragsverarbeiter, eine bestimmte Handlung datenschutzrechtlicher Art vorzunehmen. Der Auftragnehmer ist im Verhältnis zum Unterauftragsverarbeiter somit eigenständiger Auftraggeber, während der Verantwortliche sog. „Überauftraggeber“ des Unterauftragsverarbeiters wäre. Beim Stufenmodell erfolgt also kein direkter Durchgriff auf den Unterauftragsverarbeiter durch den Verantwortlichen.
Praxisbeispiel: Auftragskontrollen
Aus der Verantwortlichkeit für die Einhaltung der datenschutzrechtlichen Anforderungen ergibt sich die Pflicht des Verantwortlichen, den Auftragsverarbeiter im erforderlichen Umfang vor und während der Beauftragung zu überprüfen. Er muss sich von der Einhaltung der zugesagten technischen und organisatorischen Maßnahmen durch den Auftragsverarbeiter überzeugen. Deshalb muss der Auftragsverarbeiter Überprüfungen einschließlich Vor-Ort-Inspektionen ermöglichen und dazu beitragen.
Hat der Auftragsverarbeiter beispielsweise ein Rechenzentrum als Unterauftragsverarbeiter beauftragt, stellt sich die Frage, wie der Verantwortliche als „Herr der Datenverarbeitung“ die Auftragskontrolle sicherstellt. Da zwischen dem Verantwortlichen und dem Rechenzentrum kein eigenständiges Vertragsverhältnis besteht, kann der Verantwortliche nur seinen unmittelbaren Auftragnehmer kontrollieren. Er hat im Rahmen seines Weisungsrechtes jedoch die Möglichkeit, den Auftragnehmer anzuweisen, das Rechenzentrum zu kontrollieren. Er kann gegenüber dem Auftragnehmer dabei die Art der Kontrollen beim Rechenzentrum vorschreiben, so dass er die Herrschaft über die Daten nicht verliert.
Es kommt in der Praxis immer wieder vor, dass Verantwortliche den Wunsch äußern, Weisungen und Kontrollen direkt beim Unterauftragsverarbeiter vornehmen zu können. Dies entspricht jedoch nicht dem Grundgedanken der DSGVO. Denn diese sieht vor, dass der Auftragnehmer eigene Unterauftragsverhältnisse mit eigenen Weisungs- und Kontrollrechten abschließen kann. Dies ist aber beim direkten Durchgriff gerade nicht der Fall. Hinzu kommt folgendes: Durch die Haftungsregelung in Art. 28 Abs. 4 Satz 2 DSGVO kann sich der Verantwortliche bei Verstößen von Unterauftragnehmern immer bei dem Auftragsverarbeiter schadlos halten. Ein Kontrollrecht braucht er dann konsequenterweise nicht. Denn der Auftragsverarbeiter haftet für Datenschutzverstöße seiner Unterauftragsverarbeiter. Für den Verantwortlichen dürfte es also ausreichen, sich zum Nachweis des Datenschutzniveaus Zertifikate oder Auditberichte des bzw. der Unterauftragsverarbeiter vorlegen zu lassen.
Fazit
Was in der Theorie einfach klingt und nachvollziehbar erscheint, ist in der Praxis nicht immer leicht umsetzbar. Das gilt auch und vor allem für die Auftragsverarbeitung mit vielen, teilweise kniffligen Fragen. Sprecht uns bei Fragen gerne an.
Aufgrund der Komplexität der Thematik wird zur besseren Verständlichkeit in dieser „Kleinen Reihe“ nicht gegendert. Sämtliche Geschlechter sind mit gemeint.
