Die kleine Reihe: Auftragsverarbeitung Teil 4 Beauftragung von Subunternehmern
Nachdem wir uns im letzten Teil mit den Weisungs- und Kontrollrechten bei der Auftragsverarbeitung beschäftigt haben, widmen wir uns diesmal den Bedingungen für den Einsatz von Unter-Auftragsverarbeitern. Unter-Auftragsverarbeiter werden von der DSGVO als „weitere Auftragsverarbeiter“ bezeichnet. Geläufig sind auch die Formulierungen „Unterauftragnehmer“ oder „Subunternehmer“. Der Einfachheit halber verwenden wir im Folgenden den Begriff „Subunternehmer“.
Beauftragung von Subunternehmern nur unter Beachtung besonderer Vorschriften
Grundsätzlich ist der Auftragsverarbeiter zur eigenhändigen Leistungserbringung verpflichtet. Er darf daher nur unter den besonderen Voraussetzungen von Art. 28 Abs. 2 und 4 DSGVO die Datenverarbeitung an Subunternehmer weiterreichen. So soll verhindert werden, dass das Datenschutzniveau, das zwischen dem Verantwortlichen und dem Auftragsverarbeiter vereinbart wurde, durch das Weiterreichen der Datenverarbeitung unterlaufen wird.
Die erhöhten Anforderungen gelten jedoch nur, wenn durch den Einsatz von Subunternehmern besondere Risiken für den Verantwortlichen und die betroffenen Personen entstehen. Die Beschränkungen gelten daher nicht, wenn die weiteren Subunternehmer keine Auftragsverarbeiter sind, sondern nur sonstige Hilfstätigkeiten erbringen. In der Praxis ist es nicht immer ganz leicht, Subunternehmer von vermeintlichen Subunternehmern zu unterscheiden. Hier gilt die Grundregel: Von einem Subunternehmer ist immer dann auszugehen, wenn sich dessen Verarbeitungstätigkeit unmittelbar auf die Erbringung der Hauptleistung der Auftragsverarbeitung bezieht und nicht lediglich eine Nebenleistung darstellt.
Vorherige gesonderte oder allgemeine schriftliche Genehmigung?
Bei der Beauftragung von Subunternehmern ist zu beachten, dass die Einbeziehung stets der vorherigen Genehmigung des Verantwortlichen, also des Auftraggebers, bedarf. Der Auftragsverarbeiter (Auftragnehmer) kann also nicht nach Belieben Subunternehmer einsetzen, weil ihm dies technisch oder wirtschaftlich sinnvoll erscheint. Die DSGVO unterscheidet zwischen einer vorherigen gesonderten und einer allgemeinen schriftlichen Genehmigung. In beiden Fällen muss sie schriftlich erfolgen, was aber auch in einem elektronischen Format erfolgen kann (siehe Art. 28 Abs. 9 DSGVO).
„Allgemeine Genehmigung“ – mit Informationspflicht und Einspruchsrecht
Wo liegen die Unterschiede? Bei einer „allgemeinen Genehmigung“ gestattet der Verantwortliche dem Auftragsverarbeiter allgemein oder für bestimmte Verarbeitungsprozesse Subunternehmer einzusetzen. Die Subunternehmer werden in diesem Fall im Vertrag nicht näher bezeichnet. Die Erlaubnis ist allerdings an eine Informationspflicht des Auftragsverarbeiters gekoppelt: Dieser muss den Verantwortlichen informieren, bevor er andere Subunternehmer hinzuziehen oder bestehende Subunternehmer durch andere ersetzen will. Auf diese Weise wird der Verantwortliche in die Lage versetzt, missliebige Änderungen durch Einspruch (dazu gleich mehr) zu unterbinden.
Eine Frist für die Information des Verantwortlichen nennt die DSGVO nicht. Aus der Formulierung „beabsichtigte Änderung“ ergibt sich aber, dass die Information jedenfalls rechtzeitig vor der Änderung zu geschehen hat. Sie muss erfolgen, bevor unumkehrbare tatsächliche oder rechtliche Folgen eintreten. Denn die Information soll den Verantwortlichen in die Lage versetzen, der Erteilung des Unterauftrags an den oder die Subunternehmer zu widersprechen. Macht der Verantwortliche davon Gebrauch, ist es dem Auftragsverarbeiter versagt, den weiteren Auftragsverarbeiter in Anspruch zu nehmen. Diese Regelungstechnik dürfte für den Verantwortlichen vor allem dann sinnvoll sein, wenn bereits bei Abschluss des Vertrags zur Auftragsverarbeitung erkennbar ist, dass der Auftragsverarbeiter zahlreiche Unterauftragsverhältnisse eingehen wird und dies für den Verantwortlichen akzeptabel ist.
Art. 28 Abs. 2 S. 3 DSGVO sieht wie schon erwähnt vor, dass der Verantwortliche Einspruch gegen eine geplante Änderung in Bezug auf die Hinzuziehung oder die Ersetzung eines Auftragsverarbeiters einlegen kann. Die DSGVO stellt zwar die Rechtsfolge eines solchen Einspruchs nicht ausdrücklich fest, die Weisungsgebundenheit des Auftraggebers legt aber die Schlussfolgerung nahe, dass die Unterbeauftragung dann unzulässig ist. Der Verantwortliche sollte eine Einigung mit dem Auftragsverarbeiter anstreben oder – falls eine Einigung nicht möglich ist – das Auftragsverhältnis beenden. Im Hinblick auf diese Rechtslage empfehlen wir, die Rechtsfolgen eines Einspruchs des Verantwortlichen vorab vertraglich im Vertrag zur Auftragsverarbeitung zu klären.
„Gesonderte Genehmigung“ – speziell für den jeweiligen Unterauftrag
Eine Genehmigung kann zum anderen auch in dem Sinne gesondert erfolgen, dass der Verantwortliche ein konkretes Unterauftragsverhältnis mit einem oder mehreren konkret im Vertrag benannten Subunternehmern erlaubt. Bei der „gesonderten Genehmigung“ wird der Beauftragung des oder der Subunternehmer also gesondert zugestimmt, d.h. speziell für den jeweiligen Unterauftrag. Ein Einspruchsrecht benötigt der Verantwortliche dann nicht, weil er ohnehin jeder Änderung gesondert zustimmen muss.
Die folgenden Formulierungsvarianten zeigen, wie sich die beiden Fälle vertraglich unterscheiden.
Variante 1:
(1) Die Beauftragung von Unterauftragsverarbeitern durch den Auftragsverarbeiter ist nur mit Genehmigung des Verantwortlichen im Einzelfall gestattet.
(2) Der Verantwortliche stimmt zu, dass die im Anhang 1 aufgelisteten Unterauftragsverarbeiter für den Auftragsverarbeiter tätig sind. Die Art und der Umfang ihrer Datenverarbeitung sind ebenfalls in Anhang 1 definiert.
Variante 2:
(1) Der Auftragsverarbeiter ist befugt, jederzeit Unterauftragsverarbeiter zu beauftragen.
(2) Der Verantwortliche hat gemäß Art. 28 Abs. 2 DSGVO ein Recht auf Einspruch gegen diese Beauftragung.
(3) Im Falle eines Einspruches … (Da die DSGVO die Folgen dieses Einspruchs nicht regelt, wird empfohlen, diese vertraglich festzulegen. Wird keine Regelung getroffen, ist die Bestellung des Subunternehmers, gegen den Einspruch erhoben wurde, nicht möglich).
Inhaltliche Anforderungen an den Vertrag mit einem Subunternehmer
Über das grundsätzliche Erfordernis einer Genehmigung hinaus enthält Art. 28 Abs. 4 DSGVO inhaltliche Vorgaben für den Unterauftrag selbst. Danach hat die Erteilung eines Unterauftrags durch den Auftragsverarbeiter hinsichtlich der datenschutzrechtlichen Anforderungen inhaltlich genau den Anforderungen der Erteilung seines Auftrags durch den Verantwortlichen zu entsprechen. Das bedeutet: Dem oder den Subunternehmern sind schriftlich („auch in einem elektronischen Format“) die gleichen Pflichten aufzuerlegen, die auch den (Haupt-)Auftragsverarbeiter nach Art. 28 Abs. 3 DSGVO treffen.
Ausdrücklich hervorgehoben wird das Erfordernis hinreichender Garantien dafür, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend der DSGVO erfolgt. Wie der (Haupt-)Auftragsverarbeiter muss auch der Subunternehmer geeignete technische und organisatorische Maßnahmen ergreifen, um eine Verarbeitung im Einklang mit der DSGVO sicherzustellen. Hierfür bedarf es (ebenso wie zwischen dem Verantwortlichem und dem (Haupt-)Auftragsverarbeiter) hinreichender Garantien. Die Einhaltung genehmigter Verhaltensregeln (Art. 40 DSGVO) oder eines genehmigten Zertifizierungsverfahrens (Art. 42 DSGVO) kann diesen Nachweis nach dem Willen der DSGVO erleichtern (Art. 28 Abs. 5 DSGVO).
Mit diesen Anforderungen an die Erteilung von Unteraufträgen soll sichergestellt werden, dass die rechtlichen Anforderungen an die Verarbeitung, die den Verantwortlichen treffen, bei diesen „Ketten-Datenverarbeitungen“ bis zum letzten Glied „durchgereicht“ werden.
Drittländer: Subunternehmer, die Daten außerhalb der EU verarbeiten
Von großer praktischer Bedeutung, gerade im Bereich „Cloud-Verarbeitungen“, ist die Verarbeitung von personenbezogenen Daten in Ländern außerhalb der EU (sog. „Drittländer“). Hier müssen Verantwortliche, die einen Auftragsverarbeiter einsetzen wollen, sehr genau hinsehen. Auf den ersten Blick mag die Verarbeitung der Daten innerhalb der EU stattfinden. Bei genauem Blick auf die eingesetzten Subunternehmer ergibt sich aber manchmal, dass (einzelne) Subunternehmer für bestimmte Teilleistungen des Verarbeitungsprozesses Daten außerhalb der EU verarbeiten. Bei diesem Punkt muss im Vertrag genau analysiert und/oder beim Auftragsverarbeiter nachgefragt werden.
Sofern eine Einbeziehung von Subunternehmern in einem Drittland erfolgen soll, hat der Auftraggeber vor der Beauftragung zu prüfen, wie der Auftragsverarbeiter sicherstellt, dass die DSGVO-Regeln zur Übermittlung von Daten an die Subunternehmer in Drittländern sichergestellt werden. Diese Regeln zur Datenübermittlung in Drittländer finden sich in Kapitel V der DSGVO.
Haftungsfragen: Wer haftet wofür?
Kommt einer der Subunternehmer seinen Pflichten nicht nach, haftet der (Haupt-)Auftragsverarbeiter gegenüber dem Verantwortlichen (Einstandspflicht, Art. 28 Abs. 4 S. 2 DSGVO). Durch diese Regelung wird der Schwierigkeit des Verantwortlichen, alle Unterauftragnehmer zu kontrollieren, Rechnung getragen, indem er sich an seinen direkten Vertragspartner wenden kann, um diesen für Verletzung der Datenschutzpflichten in Anspruch zu nehmen.
Kontrollen beim Subunternehmer?
Verantwortliche werden sich möglicherweise die Frage stellen, ob sie ein direktes Prüfrecht bei den Subunternehmern haben. Der Verantwortliche kann sich durch die Haftungsregelung in Art. 28 Abs. 4 S. 2 DSGVO bei Verstößen von Subunternehmern immer bei dem (Haupt-)Auftragsverarbeiter schadlos halten. Ein eigenes Kontrollrecht braucht er dann konsequenterweise nicht, weil ja der Auftragsverarbeiter für Verstöße entlang der Kette von Subunternehmern haftet.
Das entspricht auch den Empfehlung der deutschen Aufsichtsbehörden zu Cloud Computing (PDF) zur alten Rechtslage vor Geltung der DSGVO:
„Besteht eine Erlaubnis zur Beauftragung von Unter-Anbietern, […] muss dann derselbe Kontrollmaßstab gelten wie im Verhältnis zwischen Cloud-Anwender und Cloud-Anbieter. […] Weiterhin sollte der Cloud-Anbieter gegenüber dem Cloud-Anwender vertraglich verpflichtet sein, auf Verlangen vorhandene Nachweise zu Zertifizierungen bzw. Datenschutz-Gütesiegeln der Unter-Anbieter vorzulegen.“
Es reicht demnach also aus, wenn sich der Verantwortliche zum Nachweis des Datenschutzniveaus beispielsweise von dem (Haupt-)Auftragsverarbeiter einen Auditbericht von dem Subunternehmer vorlegen lässt.
Fazit
In der Praxis gibt es kaum Fälle, in denen Auftragsverarbeiter keine Subunternehmer für Teilleistungen des Auftrags einsetzen. Genau hingesehen werden sollte insbesondere bei Subunternehmern, die ihre Daten außerhalb der EU verarbeiten. In jedem Fall gilt: Der Datenschutzbeauftragte ist bei jeder Beauftragung eines Auftragsverarbeiters einzubinden – nur so kann er seiner Aufgabe zur Beratung des Verantwortlichen sowie zur Überwachung der Einhaltung der DSGVO nachkommen.
Aufgrund der Komplexität der Thematik wird zur besseren Verständlichkeit in dieser „Kleinen Reihe“ nicht gegendert. Sämtliche Geschlechter sind mit gemeint.