Zum Inhalt springen
Home » Datenschutz-News » EDSA präzisiert Verantwortlichkeiten bei Auftragsverarbeitungen: Was Unternehmen beachten müssen

EDSA präzisiert Verantwortlichkeiten bei Auftragsverarbeitungen: Was Unternehmen beachten müssen

Ob es um Cloud-Dienste, Softwarelösungen oder andere externe Dienstleister geht – nahezu jedes Unternehmen muss personenbezogene Daten durch externe Partner verarbeiten lassen. Doch diese Praxis erfordert auch ein genaues Verständnis der rechtlichen Verantwortung, insbesondere wenn es um die Beauftragung von Auftragsverarbeitern und deren Unterauftragsverarbeiter geht. Der Europäische Datenschutzausschuss (EDSA) hat nun in einer aktuellen Stellungnahme („Opinion 22/2024 on certain obligations following from the reliance on processors and sub-processors“) klargestellt, welche Pflichten Verantwortliche haben, wenn sie Auftragsverarbeiter und deren Unterauftragsverarbeiter einsetzen. In diesem Blogbeitrag fassen wir die wesentlichen Punkte zusammen und zeigen, was Unternehmen jetzt beachten sollten.

Was ist Auftragsverarbeitung?

Die DSGVO (Datenschutz-Grundverordnung) definiert Auftragsverarbeitung als die Verarbeitung personenbezogener Daten im Auftrag des Verantwortlichen. Ein klassisches Beispiel ist der Einsatz von Cloud-Diensten zur Speicherung von Daten.

Der europäische Gesetzgeber schreibt vor, dass für jede Auftragsverarbeitung ein sogenannter Auftragsverarbeitungsvertrag (AVV) nach den Anforderungen des Art. 28 DSGVO abgeschlossen werden muss. Dieser Vertrag legt unter anderem die Pflichten des Auftragsverarbeiters fest und soll sicherstellen, dass personenbezogene Daten nur im Rahmen der Anweisungen des Verantwortlichen verarbeitet werden.

Die Herausforderung: Komplexe Verarbeitungsketten

In der Praxis ist es jedoch oft nicht so einfach, den Überblick über die Datenverarbeitungen zu behalten. Ein Auftragsverarbeiter kann selbst wiederum andere Dienstleister hinzuziehen, die als Unterauftragsverarbeiter fungieren. Diese können die Daten ebenfalls durch weitere Unterauftragsverarbeiter verarbeiten lassen. Die Kette kann sich entsprechend fortsetzen.

Gerade in solchen Fällen kann es für Unternehmen schwierig werden, alle Akteure in der Verarbeitungskette zu identifizieren und sicherzustellen, dass bei jeder Verarbeitung der Datenschutzstandard der DSGVO eingehalten wird. Diese Unübersichtlichkeit birgt ein erhebliches Risiko, besonders wenn es um die Weitergabe und Verarbeitung von Daten in Drittstaaten geht. Und auch für die Betroffenen der Datenverarbeitung ist dies dann ein Thema. Diese haben schließlich ein Recht auf transparente Datenverarbeitungen.

Die Rolle des Verantwortlichen: Klare Vorgaben des EDSA

Der EDSA hat in seiner Stellungnahme nun explizit darauf hingewiesen, dass der Verantwortliche zu jeder Zeit wissen muss, wer an der Verarbeitung der personenbezogenen Daten beteiligt ist. Das ist nicht nur auf der ersten Ebene der Auftragsverarbeiter, sondern auch auf allen darunterliegenden Ebenen der Unterauftragsverarbeiter.

Folgende Punkte hat der EDSA besonders hervorgehoben:

  1. Verantwortlichkeit entlang der gesamten Verarbeitungskette: Unabhängig von vertraglichen Garantien oder dem Risiko der Datenverarbeitung bleibt der Verantwortliche immer haftbar für die Einhaltung des Datenschutzes durch alle Beteiligten, einschließlich der Unterauftragsverarbeiter. Der Verantwortliche muss sicherstellen, dass er zu jeder Zeit vollständige Informationen über alle an der Verarbeitung beteiligten Parteien hat.
  1. Informationspflicht gegenüber Betroffenen: Nach der Rechtsprechung des Europäischen Gerichtshofes (EuGH) haben betroffene Personen das Recht, die Identität aller Unterauftragsverarbeiter zu erfahren, die an der Verarbeitung ihrer personenbezogenen Daten beteiligt sind. Dies bedeutet, dass Unternehmen in der Lage sein müssen, auf Anfragen von Betroffenen hin detaillierte Informationen über alle Verarbeiter entlang der Datenverarbeitungskette offenzulegen (EuGH, Urteil vom 12. Januar 2023, C-154/21).
  1. Garantien bei der Datenübertragung in Drittstaaten: Wenn personenbezogene Daten außerhalb der EU verarbeitet werden, ist es die Aufgabe des Verantwortlichen, sicherzustellen, dass geeignete Garantien für den Schutz dieser Daten bestehen. Dies gilt auch für alle Unterauftragsverarbeiter in Drittstaaten.
  1. Klarheit über gesetzliche Pflichten des Auftragsverarbeiters: Der EDSA befürwortet Klauseln in Auftragsverarbeitungsverträgen, die klarstellen, dass eine Verarbeitung personenbezogener Daten auch ohne Weisung des Verantwortlichen erfolgen darf. Voraussetzung ist, dass der Auftragsverarbeiter durch eine gesetzliche Pflicht zur Datenverarbeitung gezwungen ist.

Was bedeutet das für Unternehmen?

Für Unternehmen bedeutet dies, dass sie ihre bestehenden Auftragsverarbeitungsverträge und die Zusammenarbeit mit Auftragsverarbeitern überprüfen müssen. Besonders wichtig ist es, Klarheit über die gesamte Verarbeitungskette zu haben. Ferner sollte sichergestellt werden, dass alle Beteiligten den Datenschutzvorgaben der DSGVO gerecht werden.

Folgende Schritte sollten Unternehmen daher in Betracht ziehen:

  • Regelmäßige Überprüfung der Auftragsverarbeitungsverträge: Unternehmen sollten sicherstellen, dass ihre Verträge mit Auftragsverarbeitern alle erforderlichen Garantien enthalten, einschließlich der Verpflichtung, Informationen über Unterauftragsverarbeiter offenzulegen.
  • Kontrolle der Unterauftragsverarbeiter: Es ist wichtig, alle Unterauftragsverarbeiter in der Verarbeitungskette zu kennen und deren Datenschutzstandards zu überprüfen. Dies gilt insbesondere, wenn diese außerhalb der EU tätig sind.
  • Dokumentation und Transparenz: Unternehmen sollten in der Lage sein, gegenüber Betroffenen und Aufsichtsbehörden jederzeit transparent darzulegen, wer an der Verarbeitung ihrer Daten beteiligt ist.

Fazit: Präzise Verantwortung entlang der Datenverarbeitungskette

Die Klarstellungen des EDSA machen deutlich, dass Unternehmen ihre Sorgfaltspflichten bei der Auftragsverarbeitung nicht an ihre Dienstleister „delegieren“ können. Der Verantwortliche bleibt für den Schutz personenbezogener Daten in der gesamten Verarbeitungskette verantwortlich. Das gilt von der ersten bis zur letzten Ebene. Es ist daher unerlässlich, sich nicht nur auf vertragliche Garantien zu verlassen, sondern auch proaktive Kontrollen und Überprüfungen durchzuführen.

Bei weiteren Fragen zu diesem Thema oder zur rechtssicheren Gestaltung Ihrer Auftragsverarbeitungen stehen wir Ihnen gerne zur Verfügung!

Bildnachweis: KI generiert

AUTOR

Moritz Kolb ist als externer Datenschutzbeauftragter und Datenschutzberater bei der RMPrivacy GmbH für Unternehmen und öffentliche Stellen tätig. Darüber hinaus hat er als Rechtsanwalt und Rettungssanitäter besonderes Interesse für Rechtsfragen an den Schnittstellen zwischen Datenschutzrecht und Medizinrecht sowie Datenschutzrecht und Vereinsrecht.