Heutzutage gehört es dazu, dass Auftragsverarbeiter Teile ihrer Dienstleistung nicht selbst erbringen, sondern Subunternehmer einsetzen. Das kann zu ganzen Ketten an Unterauftragsverhältnissen führen. Was dabei zu beachten ist, schauen wir uns im Folgenden an.
Was ist zu beachten bei Einsatz von Unterauftragnehmern?
Grundsätzlich ist der Auftragsverarbeiter zur eigenhändigen Leistungserbringung verpflichtet. Er darf daher nur unter besonderen Voraussetzungen die Datenverarbeitung an Dritte weiterreichen, d.h. anders als nach § 278 BGB dürfen Auftragsverarbeiter nicht nach Belieben Erfüllungsgehilfen einsetzen. So soll verhindert werden, dass das Datenschutzniveau, das zwischen Verantwortlichen und Auftragsverarbeiter vereinbart wurde, durch das Weiterreichen der Datenverarbeitung unterlaufen wird.
Zentral sind die Vorschriften in Art. 28 Abs. 2 und 4 DSGVO geregelt.
Die erhöhten Anforderungen gelten jedoch nur, wenn durch den Einsatz von Subunternehmern besondere Risiken für den Verantwortlichen und die betroffenen Personen entstehen. Die Beschränkungen gelten daher nicht, wenn die weiteren Subunternehmer keine Auftragsverarbeiter sind, sondern nur sonstige Hilfstätigkeiten erbringen. Die Begriffe „weitere Auftragsverarbeiter“ und „Unterauftragnehmer“ werden in der Folge gleichbedeutend verwendet.
Genehmigung weiterer Auftragsverarbeiter Nach Art. 28 Abs. 2 DSGVO muss sich ein Auftragsverarbeiter den Einsatz von weiteren Auftragsverarbeitern genehmigen lassen. Anders als aus § 183 S. 1 BGB bekannt, bedeutet Genehmigung hier allerdings nicht die nachträgliche Zustimmung, sondern die Einwilligung im Vorfeld. Nach dem Wortlaut gibt es zwei Arten der Genehmigung: Die Genehmigung kann entweder im Einzelfall gesondert erteilt werden, d.h. konkret bezüglich des für den Einzelfall gestatteten Unterauftragsverarbeiters, oder aber im Vorhinein in allgemeiner Weise, bei der dem Auftragnehmer nur gewisse Vorgaben für seine Auswahl gemacht werden. Das ist soweit klar aus dem Gesetz erkennbar.
Alle Unterauftragnehmer genehmigungsbedürftig? Fraglich ist, ob der Verantwortliche in der gesamten Kette der Unterauftragnehmer die Genehmigung erteilen muss. Art. 28 Abs. 2 S. 1 DSGVO spricht insoweit ganz generell von „weiteren Auftragsverarbeitern“. Das könnte in der Praxis zu enormen Ketten von genehmigungsbedürftigen Unter-Unter-Unter-…- Auftragsverarbeitern führen. Eine durchgehende Genehmigungsbedürftigkeit macht Sinn, weil sonst die Interessen des Verantwortlichen gefährdet werden könnten, wenn er die Kontrolle über die Verarbeitung verliert. Er soll also im wahrsten Sinne des Wortes Verantwortlicher als Entscheidung über das „Wie“ und „Wo“ der Verarbeitung in den Händen halten. Will ein Unterauftragnehmer also einen weiteren Unterauftragnehmer einsetzen, so bedarf es der Zustimmung aller in der Verarbeitungskette vor ihm stehenden. Das ist aus Erfahrung im Berateralltag jedoch in der Praxis oft nur schwer umsetzbar. Gerade bei Verhandlungen mit großen Anbietern hat man häufig nicht die Verhandlungsposition, um den Einsatz aller Unterauftragnehmer in der Kette von der Genehmigung abhängig zu machen.
Haftung des Auftragsverarbeiters Kommt einer der Unterauftragnehmer seinen Pflichten nicht nach, haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen (Einstandspflicht) nach Art. 28 Abs. 4 S. 2 DSGVO. Der erste Auftragsverarbeiter hat also ein ureigenes Interesse, die Pflichten der Auftragsverarbeitung an alle weiteren Auftragsverarbeiter weiterzureichen. Der Verantwortliche kann im Gegenzug aber nicht auf die weiteren (Unter-) Auftragsverarbeiter durchgreifen. Durch diese Regelung wird der Schwierigkeit des Verantwortlichen, alle Unterauftragnehmer zu kontrollieren, Rechnung getragen, indem er sich an seinen direkten Vertragspartner wenden kann, um diesen für Verletzung der Datenschutzpflichten in Anspruch zu nehmen.
Fazit Zwischen Theorie und Praxis liegen Welten oder zumindest ist in der Praxis manches schwer umzusetzen, was im Gesetz ganz einfach klingt. Die gesetzlichen Regelungen sollen sicherstellen, dass das Datenschutzniveau gewahrt wird, wenn Datenverarbeitungen ausgelagert werden.
Knifflige Fragen der Praxis wie diese gibt es bei der Auftragsverarbeitung unzählige. Gern stehen wir Ihnen mit unserem Datenschutzbeauftragten für alle offenen Fragen zur Verfügung.
Wir sind jederzeit unter vertrieb@unismart.de für Sie da!