Unterauftragsverarbeiter wechseln
Geschrieben von Alexander Hönsch, veröffentlicht am 13.03.2020Die DSGVO regelt im IV Kapitel unter andrem die Auftragsverarbeitung. Grundsätzlich gilt für den Auftragsverarbeiter dabei das Prinzip eigenhändiger Leistungserbringung. Doch die Verordnung regelt in Art. 28 Abs. 2 DSGVO auch eine Ausnahme dieses Prinzips: die Erlaubnis so genannte Unterauftragsverarbeiter oder Subunternehmer in Anspruch zu nehmen.
Als Unterauftragsverarbeiter werden Unternehmen bezeichnet, die von einem Auftragsnehmer hinzugezogen werden, um bestimmte Zusatzleistungen zu Erbringen. Ein Beispiel: Eine Stadtverwaltung (Verantworlticher) lässt die eigene Internetseite durch einen Dienstleister (Auftragsverarbeiter) warten. Der Dienstleister beauftragt wiederrum ein anderes Unternehmen (Unterauftragsverarbeiter) damit, die Seite automatisch auf Fehler zu untersuchen und dies zu melden, damit entsprechende Korrekturen vorgenommen werden können.
Diese Heranziehung eines Unterauftragsverarbeiters darf aber nur unter ganz bestimmten Voraussetzungen erfolgen. Denn gemäß Art. 28 Abs. 3 lit. d) DSGVO müssen die Bedingungen für die Inanspruchnahme von Unterauftragsverarbeitern entsprechend den Voraussetzungen in Art. 28 Abs. 2 und 4 DSVGO im Vertrag über die Auftragsverarbeitung festgehalten werden. Hier erfahren Sie was in diesem Zusammenhang beim Einsetzen und bei einem Wechsel eines Unterauftragsverarbeiters zu beachten ist.
Widerspruch oder Zustimmung?
Nach Art. 28 Abs. 2 DSGVO muss eine „[…] vorherige gesonderte oder allgemeine schriftliche Genehmigung […]“ durch den Verantwortlichen für die Inanspruchnahme weiterer Unterauftragnehmer erteilt werden. Das heißt, der Verantwortliche muss entweder die Genehmigung gesondert für jeden einzelnen Unterauftragnehmer erteilen, oder der Verantwortliche erteilt eine allgemeine Genehmigung für alle zukünftigen Unterauftragsverhältnisse.
Die Einzelgenehmigung (gesonderte Genehmigung):
Im Rahmen dieser Variante sollen durch den Auftragsverarbeiter vom Verantwortlichen Einzelgenehmigungen zum Einsatz eines Unterauftragsverarbeiters eingeholt werden, was aber zumindest bei Dienstleistungen, bei denen der Auftragsverarbeiter eine Vielzahl von Auftraggebern hat (z.B. bei Cloud-Dienstleistungen), kaum praktikabel sein dürfte. Hier müsste von jedem einzelnen Verantwortlichen eine Einzelgenehmigung eingeholt werden.
Außerdem gilt: Ist eine Einzelgenehmigung Vertragsgegenstand und wird die Zustimmung nicht erteilt, so darf der neue Unterauftragsverarbeiter nicht eingesetzt werden. Problematisch ist dabei vor allem, dass dennoch Leistungspflicht gegenüber dem Verantwortlichen besteht. Folglich müsste der Auftragsverarbeiter ohne das Hinzuziehen des neuen Subunternehmers weiterhin leisten. Es ist daher empfehlenswert, ein Sonderkündigungsrecht für den zugrundeliegenden Dienstvertrag im Falle einer unterbliebenen Zustimmung zu vereinbaren.
Die allgemeine Genehmigung:
Diese praxisnähere Genehmigungsvariante ermöglicht die Vermeidung einer Vielzahl von Einzelgenehmigungen, und setzt stattdessen eine Widerspruchsmöglichkeit nach Kenntnisnahme zugunsten des Verantwortlichen voraus. Das heißt: der Verantwortliche wird über die anstehende Beauftragung eines Unterauftragsverarbeiters in Kenntnis gesetzt und kann dieser Beauftragung in einer angemessenen Frist widersprechen.
Diese Alternative ist vor allem deshalb gegenüber eines Einzelgenehmigungsverfahrens vorzuziehen, weil hier der Unterauftragsverarbeiter gewechselt werden kann, sobald die Widerspruchsfrist abgelaufen ist. Der Auftragsverarbeiter muss also nicht auf die Zustimmung einer gegebenenfalls Vielzahl von Verantwortlichen warten und kann selbständig tätig werden.
Für beide Genehmigungsvarianten gilt übrigens die Schriftformerfordernis nach Art. 28 Abs. 2 DSGVO, wobei ein elektronisches Format wie beispielsweise eine E-Mail ausreichend ist, Art. 28 Abs. 9 DSGVO. Wie ein solches elektronisches Genehmigungsverfahren aussehen kann, haben wir in diesem Beitrag beschrieben: Wechsel bei Unterauftragsverarbeitern
Drittstaaten und Garantien
Soll im Rahmen der Unterstützungsleistung durch den Unterauftragnehmer die Verarbeitung personenbezogener Daten in einem Drittstaat erfolgen (Art. 45 ff. DSGVO), darf dies nur unter explizite Weisung des Verantwortlichen geschehen. Die Weitergabe der Daten muss zwingend im Auftragsverarbeitungsvertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter geregelt sein.
Es bietet sich an, eine Liste mit folgenden Angaben in den Vertrag mit aufzunehmen:
- Sitz des Subunternehmers
- die Tätigkeit, die im Rahmen dieses Auftrags zu erfüllen ist (z.B. Hosting)
- die Garantien im Sinne der DSGVO (Datenübermittlung vorbehaltlich geeigneter Garantien, Datenübermittlung auf der Grundlage eines Angemessenheitsbeschluss oder verbindliche Datenschutzvorschriften)
Diese Aufschlüsselung ist in zweierlei Hinsicht wichtig: Denn einerseits muss der Verantwortliche wissen, dass im Falle seiner Genehmigung die personenbezogenen Daten für die er verantwortlich ist, in ein Drittstaat fließen. Andererseits müssen diese Informationen gem. Art. 13, 14 DSGVO gegenüber den Betroffenen offengelegt werden müssen. Denn Drittstaaten müssen als Kategorie von externen Empfängern im Datenschutzhinweis enthalten sein.
Fazit
Unterauftragsverhältnisse werden im Rahmen der Auslagerung verschiedener Prozesse immer relevanter. Bei Inanspruchnahme eines Subunternehmers muss insbesondere geregelt werden, ob eine gesonderte oder allgemeine Genehmigung des Verantwortlichen für Unterauftragsverarbeiter erfolgen soll. Im Fall einer allgemeinen Genehmigung muss die entsprechende Pflicht des Auftragsverarbeiters über die Benachrichtigung des Verantwortlichen und das Widerspruchsrecht des Verantwortlichen vereinbart werden.
Außerdem empfiehlt es sich, die Folgen einer nicht erteilten Zustimmung oder eines eingelegten Widerspruchs im der Auftragsverarbeitung zugrundeliegenden Dienstvertrag zu berücksichtigen, sich also beispielsweise ein Sonderkündigungsrecht einzuräumen.