Was ist bei der Bestellung von Unterauftragsverarbeitern (Subunternehmen) zu beachten?
Mit der DSGVO wurden besondere Pflichten eingeführt, die ausgelöst werden, wenn ein Auftragsverarbeiter beabsichtigt, einen weiteren Akteur in Anspruch zu nehmen, womit ein weiteres Glied in die Kette eingefügt wird, indem ihm Tätigkeiten übertragen werden, die die Verarbeitung personenbezogener Daten erfordern.
Eines sollte jeden Auftragsverarbeiter bewusst sein: Ohne vorherige gesonderte oder allgemeine schriftliche Genehmigung des Verantwortlichen darf ein Auftragsverarbeiter keinen Unterauftragsverarbeiter (im Gesetzestext als „weiterer Auftragsverarbeiter“ bezeichnet) in Anspruch nehmen (Art. 28 Abs. 2 Satz 1 DSGVO). Eine Genehmigung in elektronischer Form genügt in diesem Falle nicht.
Bei der Informierung bezüglich des geplanten Einsatzes eines Unterauftragsverarbeiters genügt es nicht, dem Verantwortlichen die bloße Möglichkeit einzuräumen, von entsprechenden Vorhaben Kenntnis zu nehmen. Unzureichend wäre beispielsweise, wenn der Auftragsverarbeiter beabsichtigte Hinzuziehungen oder Ersetzungen von Unterauftragsverarbeitern lediglich auf seiner Homepage veröffentlicht. Das gilt auch dann, wenn der Vertrag den Verantwortlichen verpflichten sollte, den Internet-Auftritt des Auftragsverarbeiters regelmäßig auf beabsichtigte Änderungen von Unterauftragsverarbeitungen zu überprüfen. Der Verantwortliche hat in diesem Zusammenhang keine „Holschuld“ hinsichtlich seiner Information. Art. 28 Abs. 2 DSGVO fordert vielmehr eine ausdrückliche, einzelfallbezogene Information des Auftragsverarbeiters gegenüber dem Verantwortlichen, die diesem auch tatsächlich die Entscheidung ermöglicht, die beabsichtigte Unter-Auftragsverarbeitung abzulehnen oder zu genehmigen.
Bei einer Genehmigung besitzt der Auftraggeber folgende Wahlmöglichkeiten:
- Erteilung einer spezifischen Genehmigung, die sich auf einen bestimmten Unterauftragsverarbeiter für eine bestimmte Verarbeitungstätigkeit zu einem bestimmten Zeitpunkt bezieht, oder
- Erteilung einer allgemeinen Genehmigung.
Im Fall einer allgemeinen schriftlichen Genehmigung muss der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter informieren, wodurch der Verantwortliche die Möglichkeit erhält, gegen derartige Änderungen Einspruch zu erheben (Art. 28 Abs. 2 Satz 2 DSGVO). Gemäß § 62 Abs. 3 Satz 3 BDSG kann der Verantwortliche sogar die Hinzuziehung oder Ersetzung untersagen.
Soweit möglich und bekannt, sollten Subunternehmer gleich im Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter benannt oder festgelegt werden. Ansonsten sind Name und Anschrift des Subunternehmens mitzuteilen, sobald das Unternehmen feststeht.
Einem etwaigen Subunternehmen müssen im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt werden, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Art. 28 Abs. 3 DSGVO festgelegt sind, wobei insbesondere hinreichende Garantien dafür geboten werden muss, dass die geeigneten technischen und organisatorischen Maßnahmen so durchgeführt werden, dass die Verarbeitung entsprechend den Anforderungen dieser Verordnung erfolgt. Somit müssen an einen Unterauftragsnehmer die gleichen hohen Anforderungen wie an den eigentlichen Auftragsnehmer gestellt werden.
Auch an die Inhalte eines derartigen Vertrages werden die gleichen Anforderungen gestellt wie an den Vertrag zwischen Verantwortlichen und ersten Auftragsverarbeiter.
Kommt der Subunternehmer seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes Subunternehmers (Art. 28 Abs. 4 DSGVO). Bei einem lediglichen Verstoß gegen die Vertragspflichten – ohne dass es sich hierbei um einen Verstoß gegen die Datenschutzpflichten handelt – haftet der erste Auftragsverarbeiter nicht.