Stellungnahme des Europäischen Datenschutzausschusses (EDSA)

Auf Ersuchen der dänischen Datenschutzaufsichtsbehörde hat der EDSA am 07. Oktober 2024 eine Stellungnahme zu den Rechenschaftspflichten des Verantwortlichen bei der Beauftragung von Auftragsverarbeitern und Unterauftragsverarbeitern veröffentlicht.

Eine Auftragsverarbeitung liegt vor, wenn ein beauftragtes Unternehmen weisungsgebunden personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (Art. 4 Abs. 8 und Art. 28 DSGVO). Klassische Beispiele sind Cloud-Dienstleistungen oder Hosting/Speicherung von personenbezogenen Daten nach Weisung. In der Regel setzt der Auftragsverarbeiter auch Unterauftragsverarbeiter ein, die ihrerseits weitere Dienstleister als Auftragsverarbeiter einsetzen können. Auf diese Weise kann eine lange Auftragsverarbeitungskette entstehen. Die Verantwortlichen stehen dann vor der Herausforderung, sicherzustellen, dass alle Beteiligten in der Kette die Anforderungen des Datenschutzes erfüllen. Mit seiner Stellungnahme liefert der EDSA nun wichtige Klarstellungen hierzu.

Der EDSA betont die Pflicht des Verantwortlichen, die Identität und die Tätigkeiten aller Auftragsverarbeiter und Unterauftragsverarbeiter zu kennen. Dem Auftragsverarbeiter soll es obliegen, proaktiv dem Verantwortlichen Informationen über Name, Anschrift, Kontaktpersonen (Name, Position, Kontaktdaten) sowohl des Auftragsverarbeiters selbst, als auch des Unterauftragsverarbeiters zur Verfügung zu stellen und diese Informationen stets auf dem neuesten Stand zu halten. Diese Pflichten sind bereits im Auftragsverarbeitungsvertrag festzulegen. Damit solle sichergestellt werden, dass der Verantwortliche seiner Informationspflicht über die Empfänger von Daten gem. Art. 13 Abs. 1 lit. e DSGVO und Art. 14 Abs. 1 lit. e DSGVO nachkommen und schnell auf Datenschutzverstöße in der gesamten Verarbeitungskette reagieren kann. Gewährleistet ist somit auch eine korrekte Beantwortung von Anfragen betroffener Personen nach Art. 15 DSGVO.

Um seiner Rechenschaftspflicht bei der Beauftragung weiterer Auftragsverarbeiter nachzukommen, habe der Verantwortliche sicherzustellen, dass alle an der Verarbeitungskette Beteiligten die datenschutzrechtlichen Anforderungen erfüllen. Der EDSA stellt fest, dass die Verantwortung für die Beauftragung beim ursprünglich Verantwortlichen verbleibe. Der Umfang der Überprüfungen hänge von der Art der getroffenen technischen und organisatorischen Maßnahmen und dem von der Verarbeitung ausgehenden Risiko ab und sei vom Verantwortlichen im Einzelfall festzulegen. Der Verantwortliche könne sich zwar auf die Informationen und Prüfung des Auftragsverarbeiters verlassen, sofern diese vollständig und eindeutig sind. Bei Unklarheiten oder Widersprüchen müsse der Verantwortliche jedoch selbst Überprüfungen vornehmen. Es müsse sichergestellt werden, dass auf jeder Stufe der Auftragsverarbeitung dasselbe Schutzniveau gewährleistet werde. Der Verantwortliche sei jedoch nicht verpflichtet, sämtliche Verträge mit Unterauftragsverarbeitern anzufordern, um zu prüfen, ob die im ursprünglichen Vertrag vorgesehenen Datenschutzverpflichtungen übertragen wurden. Vielmehr hänge die Anforderung einer Kopie vom Einzelfall ab und sei nur im Zweifelsfall erforderlich.

Der EDSA hat sich zudem mit der Frage befasst, wie weit die Pflicht des Verantwortlichen reiche, um das Schutzniveau für personenbezogene Daten in einem Drittland (einem Land außerhalb des Europäischen Wirtschaftsraums/EWR) als Empfängerland zu prüfen. Er stellt fest, dass der Verantwortliche auch in diesem Fall die Einhaltung der Pflichten nach Art. 44 ff. DSGVO sicherzustellen habe. Der Verantwortliche solle alle geplanten Datenübermittlungen in Drittländer erfassen. Dies könne als Mitteilungspflicht im Vertrag mit dem Auftragsverarbeiter aufgenommen werden. Der Auftragsverarbeiter wiederum werde angewiesen, diese Pflicht an seine Unterauftragsverarbeiter weiterzugeben. Danach müsse der Verantwortliche die Grundlage der Datenübermittlung prüfen und eine Risikobewertung durchführen, d.h., er solle kontrollieren, ob ausreichende Garantien für die Datenübermittlung in das Drittland bestehen. Auch diese Überprüfung hänge vom Risiko ab, das die jeweilige Verarbeitung für die betroffene Person darstellt und davon, ob der Auftragsverarbeiter bereits eine zuverlässige Prüfung vorgelegt hat.

Zum Weisungsrecht des Verantwortlichen stellt der EDSA klar, dass der Auftragsverarbeiter personenbezogene Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeiten dürfe. Eine Weisung müsse hinreichend bestimmt sein und könne vom Verantwortlichen jederzeit widerrufen werden. Durch seine Weisungen lege der Verantwortliche die Zwecke und Mittel der Datenverarbeitung fest. Eine Verarbeitung personenbezogener Daten ohne Weisung des Verantwortlichen dürfe nur erfolgen, wenn der Auftragsverarbeiter aufgrund einer gesetzlichen Vorgabe zur Datenverarbeitung verpflichtet ist. Für diesen Fall empfiehlt der EDSA, eine entsprechende Klausel in den Auftragsverarbeitungsvertrag aufzunehmen. Der Auftragsverarbeiter habe die Pflicht, den Verantwortlichen  im Voraus zu informieren, wenn eine rechtliche Verpflichtung der EU oder der Mitgliedstaaten zur Verarbeitung bestehe.

Mit seiner Stellungnahme unterstreicht der EDSA, wie auch das OLG Dresden mit Urteil vom 15.10.2024, 4 U 940/24 (siehe hierzu unseren Artikel Haftung des Verantwortlichen auch bei Exzess des Auftragsverarbeiters vom Dezember 2024) die Bedeutung der Kontrollpflicht des Verantwortlichen nach Art. 28 DSGVO gegenüber seinen Auftragsverarbeitern. Beide betonen, dass die Kontrollpflicht eine fortlaufende Verantwortung ist. Verantwortliche müssen sicherstellen, dass alle Auftragsverarbeiter und Unterauftragsverarbeiter ausreichende Garantien für die Einhaltung der Datenschutzmaßnahmen bieten. Etwaige Kontrollmaßnahmen sollten dem Risiko der jeweiligen Verarbeitung angepasst werden, abhängig z. B. von der Datenmenge oder der Art der Daten.

Darüber hinaus müssen Verantwortliche jederzeit in der Lage sein, die Einhaltung der DSGVO durch entsprechende Dokumentation nachzuweisen. D.h., die Beweislast für die Einhaltung der Sorgfaltspflicht liegt beim Verantwortlichen, so auch das OLG Dresden.

Autorin: Rosemarie Popa (Senior Data Privacy Consultant)