Auftragsverarbeitung: Wenn der Subunternehmer zum Bumerang wird
Stellen Sie sich folgendes Szenario vor: Ein Unternehmen beauftragt einen externen Dienstleister mit der Verarbeitung personenbezogener Daten, zum Beispiel für das Versenden von Werbe-E-Mails oder die Lohnabrechnung. Doch was passiert, wenn dieser Auftragsverarbeiter ohne Rücksprache weitere Subunternehmer einsetzt? Genau das ist kürzlich in Spanien geschehen.
Die spanische Datenschutzaufsicht verhängte am 15. April 2024 ein Bußgeld in Höhe von 60.000 Euro gegen einen IT-Dienstleister. Das Unternehmen hatte als Auftragsverarbeiter eigenmächtig einen Subdienstleister beauftragt, ohne den eigentlichen Auftraggeber (den Verantwortlichen) darüber zu informieren. Bei diesem Subunternehmer kam es dann zu einer Datenpanne, bei der personenbezogene Daten unbefugt offengelegt wurden.
Dieser Fall zeigt deutlich, welche Fallstricke es bei der Auftragsverarbeitung zu beachten gilt. Insbesondere die Einbindung von Subdienstleistern ist ein sensibles Thema, das klare vertragliche Regelungen und eine enge Abstimmung zwischen Auftraggeber und Auftragnehmer erfordert. Andernfalls drohen empfindliche Bußgelder und Imageschäden.
Im Folgenden beleuchten wir daher genauer, was die Datenschutz-Grundverordnung (DSGVO) zum Einsatz von Subunternehmern durch Auftragsverarbeiter sagt und welche Pflichten dabei zu beachten sind. So können sowohl Auftraggeber als auch Dienstleister Haftungsrisiken vermeiden und eine DSGVO-konforme Zusammenarbeit sicherstellen.
Pflichten des Auftragsverarbeiters
Doch welche konkreten Pflichten treffen den Auftragsverarbeiter laut DSGVO? Hier ein Überblick über die wichtigsten Punktet:
- Der Auftragsverarbeiter darf die Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten, auch in Bezug auf Übermittlungen in Drittländer. Bei Zweifeln an der Rechtmäßigkeit einer Weisung muss er den Verantwortlichen informieren.
- Er muss geeignete technische und organisatorische Maßnahmen zum Schutz der Daten umsetzen. Der Verantwortliche hat das Recht, diese Maßnahmen zu überprüfen.
- Er unterstützt den Verantwortlichen mit geeigneten Maßnahmen bei der Wahrnehmung der Betroffenenrechte (Auskunft, Berichtigung, Löschung etc.).
- Er unterstützt den Verantwortlichen auch bei weiteren Pflichten wie Meldung von Datenpannen, Datenschutz-Folgenabschätzungen und Konsultation der Aufsichtsbehörde.
- Nach Ende des Auftrags muss er die Daten nach Wunsch des Verantwortlichen löschen oder zurückgeben und die Löschung bestätigen.
- Erstellt dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der Pflichten zur Verfügung und ermöglicht Überprüfungen.
- Er führt ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten, die er im Auftrag durchführt. Dieses Verzeichnis hat einen gesetzlich vorgegebenen Mindestinhalt.
- Ganz wichtig: Er darf nur mit vorheriger schriftlicher Genehmigung des Verantwortlichen weitere Auftragsverarbeiter hinzuziehen. Bei allgemeiner Genehmigung muss er den Verantwortlichen über Änderungen informieren, der dann Einspruch erheben kann.
All diese Pflichten müssen vertraglich zwischen Verantwortlichem und Auftragsverarbeiter vereinbart werden. Kommt der Auftragsverarbeiter dem nicht nach, kann er selbst als Verantwortlicher behandelt werden und muss mit saftigen Bußgeldern und Schadensersatzforderungen rechnen - so wie es dem IT-Dienstleister nun ergeht.
Einsatz von Subdienstleistern durch den Auftragsverarbeiter
Doch was ist eigentlich, wenn der Auftragsverarbeiter seinerseits Subunternehmereinsetzen möchte? Genau das ist bei dem IT-Dienstleister der Fall gewesen. Grundsätzlich ist dies nach Art. 28 Abs. 2 DSGVO möglich, allerdings nur unter bestimmten Voraussetzungen.
Zunächst einmal sollte der Auftragsverarbeiter eine eigenständige Bewertung und Prüfung des Dienstleisters durchführen. Der Auftragsverarbeiter muss sich für den Einsatz von weiteren Subdienstleistern anschließend die vorherige Genehmigung des Verantwortlichen einholen, und zwar entweder in Form einer speziellen oder einer allgemeinen schriftlichen Genehmigung. Hat der Verantwortliche eine allgemeine Genehmigung erteilt, muss ihn der Auftragsverarbeiter über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung neuer oder die Ersetzung bisheriger Subdienstleister informieren. Der Verantwortliche hat dann die Möglichkeit, Einspruch gegen die Änderungen zu erheben.
Erteilt der Auftragsverarbeiter seinerseits einen Unterauftrag, muss er mit dem Subunternehmer einen Vertrag abschließen, der im Wesentlichen die gleichen Datenschutzpflichten enthält, die auch den Auftragsverarbeiter gegenüber dem Verantwortlichen treffen. Insbesondere muss der Subdienstleister hinreichende Garantien dafür bieten, dass er geeignete technische und organisatorische Maßnahmen ergreift, damit die Datenverarbeitung der DSGVO entspricht. Sollten zwischen dem Verantwortlichen und dem Auftragsverarbeiter zusätzliche vertragliche Sicherheiten oder Verschwiegenheit bestehen (z.B. § 203 StGB), sind auch diese Vereinbarungen gegenüber dem gewählten Dienstleister abzuschließen.
Für die Einhaltung der Pflichten des Subdienstleisters bleibt gegenüber dem Verantwortlichen, mitunter der Auftragsverarbeiter in vollem Umfang haftbar. Er haftet also dann für Fehler der von ihm eingesetzten Subunternehmer, als wären es seine eigenen. Genau das dürfte dem spanischen IT-Dienstleister nun zum Verhängnis geworden sein.
Ankündigung neuer Subdienstleister durch den Auftragsverarbeiter
Setzt der Auftragsverarbeiter den Subunternehmer ohne vorherige Überprüfung und Genehmigung dennoch ein, verstößt er gegen die vertraglichen Vereinbarungen mit dem Verantwortlichen. Im Extremfall kann dies sogar zur Kündigung des Auftragsverarbeitungsvertrags führen. Zudem bleibt der Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Datenschutzpflichten durch den Subdienstleister verantwortlich.
Um solche Konsequenzen zu vermeiden, sollten Auftragsverarbeiter bei der Beauftragung neuer Subunternehmer stets wie in der Checkliste beschrieben umsetzen.
Checkliste für den Einsatz von Subdienstleistern:
- Prüfen, ob der Vertrag mit dem Verantwortlichen den Einsatz von Subdienstleistern erlaubt und ob eine spezielle oder allgemeine schriftliche Genehmigung des Verantwortlichen vorliegt.
- Den Verantwortlichen rechtzeitig und umfassend über die geplante Beauftragung eines neuen Subdienstleisters informieren, insbesondere über dessen Namen, Kontaktdaten und die vorgesehenen Verarbeitungstätigkeiten.
- Dem Verantwortlichen Gelegenheit geben, Einspruch gegen den neuen Subdienstleister zu erheben. Etwaige Einsprüche sorgfältig prüfen und bewerten.
- Mit dem Subdienstleister einen Vertrag abschließen, der die gleichen Datenschutzpflichten enthält wie der Vertrag zwischen Verantwortlichem und Auftragsverarbeiter.
- Sich vergewissern, dass der Subdienstleister die erforderlichen technischen und organisatorischen Maßnahmen zum Datenschutz ergreift.
- Den Subdienstleister sorgfältig auswählen, einweisen und überwachen. Regelmäßig kontrollieren, ob er seinen Datenschutzpflichten nachkommt.
- Dokumentieren, welche Subdienstleister mit welchen Aufgaben betraut wurden. Diese Informationen auf Anfrage dem Verantwortlichen zur Verfügung stellen.
Durch die Einhaltung dieser Punkte können Auftragsverarbeiter die Vorgaben der DSGVO zum Einsatz von Subunternehmern erfüllen und Haftungsrisiken minimieren. Gleichzeitig stärken sie das Vertrauendes Verantwortlichen und der betroffenen Personen in einen sicheren und rechtskonformen Umgang mit den Daten.
Fazit
Der Fall des spanischen IT-Dienstleisters zeigt deutlich, welche Fallstricke bei der Auftragsverarbeitung lauern - und wie schnell es zu empfindlichen Strafen kommen kann, wenn die Vorgaben der DSGVO nicht penibel eingehalten werden. Gerade der Einsatz von Subdienstleistern erweist sich als heikles Terrain, das von Auftragsverarbeitern höchste Sorgfalt und Umsicht erfordert.
Die wichtigsten Lehren, die Auftragsverarbeiter aus diesem Fall ziehen sollten:
- Subdienstleister dürfen nur mit Genehmigung des Verantwortlichen beauftragt werden. Eine Beauftragung "unter der Hand" ist ein klarer Verstoß gegen die DSGVO.
- Neue Subdienstleister müssen dem Verantwortlichen rechtzeitig angekündigt werden, damit dieser ggf. Einspruch erheben kann. Eine frühzeitige und transparente Kommunikation ist hier das A und O.
- Subdienstleister sind sorgfältig auszuwählen, einzuweisen und zu überwachen. Der Auftragsverarbeiter bleibt für ihre Fehler gegenüber dem Verantwortlichen haftbar.
- Mit Subdienstleistern müssen Verträge geschlossen werden, die den gleichen Pflichtkatalog enthalten wie der Vertrag zwischen Verantwortlichem und Auftragsverarbeiter.
- Datenpannen bei Subdienstleistern können auch den Auftragsverarbeiter teuer zu stehen kommen - und zwar sowohl finanziell als auch in puncto Reputation
Für Verantwortliche, die einen Auftragsverarbeiter beauftragen, gilt umgekehrt:
- Vergewissern Sie sich, dass Ihr Vertragspartner die DSGVO-Vorgaben zum Einsatz von Subunternehmern kennt und einhält.
- Lassen Sie sich vertraglich zusichern, dass Sie über neue Subdienstleister informiert werden und ein Einspruchsrecht haben.
- Und scheuen Sie sich nicht, von Ihrem Recht Gebrauch zu machen, die Datenschutzmaßnahmen beim Auftragsverarbeiter und seinen Subunternehmern zu überprüfen.
Nur wenn Verantwortliche und Auftragsverarbeiter bei der Auftragsverarbeitung vertrauensvoll zusammenarbeiten und sich gemeinsam um Datenschutz und Datensicherheit bemühen, lassen sich Haftungsrisiken vermeiden und die Rechte der betroffenen Personenwahren. Der Abschreckungseffekt, den das Bußgeld gegen den IT-Dienstleister entfalten dürfte, kann dabei durchaus hilfreich sein.
Bildnachweis