SiDIT Logo
    Zurück zum Blog
    Datenschutz13. November 2024

    Datenschutz: Kontrolle der Sub-Sub-Sub-Unternehmer in der Auftragsverarbeitung

    Datenschutz: Kontrolle der Sub-Sub-Sub-Unternehmer in der Auftragsverarbeitung

    Dienstleister: Die Kontrolle des Sub-Sub-Sub-Unternehmers

    Ein aktuelles Urteil des OLG Dresden (15.10.2024 – Az.: 4 U 940/24) und eine neue Stellungnahme des Europäischen Datenschutzausschusses (EDSA) Link zur EDSA-Stellungnahme rücken das Thema Datenschutzverantwortung im Rahmen der Auftragsverarbeitung erneut in den Fokus. Insbesondere die Überwachung der gesamten Verarbeiterkette vom Auftragsverarbeiter bis zum letzten Unterauftragsverarbeiter wirft viele Fragen auf und hat weitreichende Konsequenzen für Unternehmen. Wie lässt sich diese Verantwortung in der Praxis umsetzen, und worauf müssen Verantwortliche achten?

    Warum ist die Kontrolle der (Sub-)Auftragsverarbeiter für Unternehmen wichtig?

    Fast jedes Unternehmen arbeitet heute mit externen Dienstleistern, die personenbezogene Daten verarbeiten. Typische Beispiele sind Anbieter von Buchhaltungs- oder CRM-Software. Häufig beauftragen diese Dienstleister ebenfalls Auftragsverarbeiter, und diese wiederum Sub-Auftragsverarbeiter, sodass eine lange Verarbeiterkette entsteht, in der die personenbezogenen Daten des Verantwortlichen verarbeitet werden.

    Ein Beispiel: Ein Unternehmen nutzt eine externe Buchhaltungssoftware, die alle Finanzdaten verarbeitet. Der Softwareanbieter selbst setzt dabei auf Cloud-Infrastrukturen eines weiteren IT-Dienstleisters, welcher seinerseits spezialisierte Rechenzentren in Übersee nutzt. Dieses Szenario zeigt, wie eine scheinbar direkte Zusammenarbeit schnell zur komplexen Auftragsverarbeitungskette mit mehreren Sub- und Sub-Sub-Verarbeitern wird.

    Die DSGVO legt fest, dass der Verantwortliche, welcher die Daten weitergibt, immer der Verantwortliche für diese Daten bleibt und diese nicht an seinen Auftragsverarbeiter abgeben kann. Dies führt dazu, dass der Verantwortliche die Verarbeiterkette überwachen und kontrollieren muss. Besonders relevant wird dies, wenn Auftragsverarbeiter auf sensible Daten zugreifen.

    Die Haftungsrisiken und die datenschutzrechtlichen Anforderungen sind enorm, wie auch ein aktuelles Urteil des Oberlandesgerichts Dresden zeigt.

    Aktuelle Rechtslage: Urteil des OLG Dresden und die Stellungnahme des EDSA

    Ein Urteil des OLG Dresden vom 15. Oktober 2024 Link zum OLG-Urteil verdeutlicht, dass Unternehmen für Datenschutzverstöße ihrer Auftragsverarbeiter haften können, wenn sie diese nicht ausreichend kontrollieren. In diesem Fall versäumte ein Auftragsverarbeiter nach Vertragsende, Daten sicher zu löschen. Diese Daten wurden in eine ungesicherte Testumgebung übertragen und tauchten später im Darknet auf.

    Das Gericht urteilte zwar, dass dem Kläger kein Schadensersatz zustand, da kein konkreter Schaden nachweisbar war, betonte jedoch die Pflicht zur regelmäßigen Überprüfung der Auftragsverarbeiter. Eine einfache Zusicherung der Löschung durch den Auftragsverarbeiter reichte dem Gericht nicht aus. Unternehmen müssen also sowohl die Auswahl der Auftragsverarbeiter als auch deren regelmäßige Überwachung ernst nehmen.

    Der Europäische Datenschutzausschuss (EDSA) veröffentlichte am 7. Oktober 2024 eine neue Stellungnahme Link zur EDSA-Stellungnahme, die Unternehmen ebenfalls in die Pflicht nimmt. Der EDSA legt dar, dass die Rechenschaftspflicht des Verantwortlichen entlang der gesamten Auftragsverarbeitungskette besteht. Diese Pflicht zur Überwachung und Transparenz umfasst auch Sub- und Sub-Sub-Auftragsverarbeiter und verlangt eine klare und umfassende Dokumentation.

    Herausforderungen in der Praxis: Kontrolle der gesamten Verarbeiterkette

    In der Praxis kann die Kontrolle der gesamten Verarbeiterkette sehr komplex sein. Ein wesentlicher Punkt ist die fehlende Transparenz: In vielen Fällen wissen Verantwortliche gar nicht genau, welche Sub- und Sub-Sub-Auftragsverarbeiter in die Verarbeitung eingebunden sind. Dennoch besteht die Pflicht, jede Ebene zu kontrollieren und zu dokumentieren.

    Diese Pflicht gilt auch für die Einhaltung der Sicherheitsstandards und Datenschutzanforderungen, die laut DSGVO auf allen Ebenen der Verarbeiterkette eingehalten werden müssen. Um die Anforderungen zu erfüllen, sollten Unternehmen umfassende Verträge mit allen Verarbeitern schließen und klare, kontinuierliche Kontrollmaßnahmen etablieren.

    Best Practices für die Einhaltung der DSGVO bei Auftragsverarbeitern

    Um die DSGVO-Anforderungen bei Auftragsverarbeitern sicherzustellen und das Haftungsrisiko zu minimieren, sollten Unternehmen folgende Maßnahmen ergreifen:

    1. Sorgfältige Auswahl der Auftragsverarbeiter: Bei der Auswahl eines Dienstleisters sollten Unternehmen strenge Datenschutzkriterien anwenden. Es gilt darauf zu achten, dass möglichst wenige Subunternehmen eingesetzt werden. Nachweise wie Datenschutzzertifikate und Audits können zusätzliche Sicherheit bieten.
    2. Transparente Vertragsgestaltung: In den Verträgen mit Auftragsverarbeitern sollten regelmäßige Informationen über Änderungen und Datenübermittlungen vorgeschrieben sein. Zusätzlich müssen Regelungen enthalten sein, dass die Pflichten aus diesem AV-Vertrag in der gesamten Kette weitergegeben werden und dass der ursprüngliche Verantwortliche ein direktes Kontrollrecht gegenüber den eingesetzten Subunternehmern erhält. Nur so bleibt der Verantwortliche in der Lage, die datenschutzrechtlichen Standards zu überwachen.
    3. Kontinuierliche Kontrolle und Dokumentation: Ein Datenschutz-Managementsystem, das alle Datenschutzprozesse strukturiert und dokumentiert, ist für die kontinuierliche Überwachung erforderlich. Regelmäßige Audits und Prüfungen der Einhaltung datenschutzrechtlicher Vorgaben sollten zur Routine werden.
    4. Verpflichtung zur Offenlegung bei Datenübermittlungen in Drittländer: Werden Daten in Drittländer übermittelt, muss der Auftragsverarbeiter gewährleisten, dass alle Datenschutzvorgaben eingehalten werden. Hierbei können Standardvertragsklauseln und eine Verpflichtung zur Offenlegung von Datenübermittlungen an Sub-Auftragsverarbeiter hilfreich sein.
    5. Schulungen und Sensibilisierung: Verantwortliche Mitarbeiter sollten regelmäßig geschult werden, um die Anforderungen der DSGVO und die Verantwortung für die Verarbeiterkette besser zu verstehen.

    Unterstützung durch externe Datenschutzexperten

    Die Kontrolle und Dokumentation einer komplexen Verarbeiterkette kann für Unternehmen eine große Herausforderung darstellen. Wir – als externe Datenschutzbeauftragte – helfen Ihnen, praxistaugliche Verträge zu gestalten, Kontrollprozesse zu etablieren und Ihre Datenschutzprozesse DSGVO-konform aufzusetzen.

    Fazit: Verantwortung entlang der gesamten Verarbeiterkette ernst nehmen

    Sowohl das Urteil des OLG Dresden als auch die Stellungnahme des EDSA unterstreichen die Relevanz einer lückenlosen Kontrolle der Verarbeiterkette. Unternehmen sind dazu verpflichtet, ihre Auftragsverarbeiter regelmäßig zu überprüfen, die Verträge klar zu formulieren und die Dokumentation der gesamten Kette sicherzustellen. Mit der Unterstützung durch Datenschutzexperten und einem professionellen Datenschutz-Management sind Unternehmen in der Lage, die gesetzlichen Anforderungen zu erfüllen und das Haftungsrisiko zu minimieren.

    Kontaktieren Sie uns

    Benötigen Sie Unterstützung bei der Gestaltung Ihrer Auftragsverarbeitungsverträge oder der Überwachung Ihrer Verarbeiterkette? Als externe Datenschutzexperten unterstützen wir Sie gerne. Treten Sie mit uns in Kontakt und erfahren Sie, wie wir Ihnen helfen können, Ihre Datenschutzstrategie rechtssicher und effizient zu gestalten.

    Haben Sie Fragen zu diesem Thema?

    Jetzt Kontakt aufnehmen

    Verwandte Beiträge

    Datenschutzpostfach: 15.000 € Bußgeld
    Datenschutz21. Juli 2025

    Datenschutzpostfach: 15.000 € Bußgeld

    Wegen einer nicht erreichbaren Datenschutz-E-Mail-Adresse verhängte ein Gericht ein Bußgeld von 15.000 €. Das Datenschutzpostfach ist keine Formalie.

    Weiterlesen
    Online-Meetings aufzeichnen: KI, Datenschutz und § 201 StGB
    Datenschutz15. Okt. 2024

    Online-Meetings aufzeichnen: KI, Datenschutz und § 201 StGB

    Die Aufzeichnung von Online-Meetings und der Einsatz von KI für Transkripte werfen datenschutzrechtliche Fragen auf. Erfahren Sie, was § 201 StGB bedeutet und wann Einwilligungen nötig sind.

    Weiterlesen
    Generative KI datenschutzkonform nutzen: Eine Checkliste für Unternehmen
    Datenschutz24. Nov. 2023

    Generative KI datenschutzkonform nutzen: Eine Checkliste für Unternehmen

    Die Nutzung generativer KI birgt Risiken, aber auch Chancen. Erfahren Sie, wie Sie Tools wie ChatGPT datenschutzkonform einsetzen und welche Regeln Sie beachten sollten, um Schäden zu vermeiden.

    Weiterlesen