Gemeinsame Verantwortung von Subunternehmern

Auszug aus Bruno DUMAYs Buch: GDPR DECRYPTION – Für Manager, strategische Abteilungen und Mitarbeiter von Unternehmen und Organisationen – Vorwort von Gaëlle MONTEILLER

Im gesamten Text werden neben den Verantwortlichen auch Auftragsverarbeiter genannt. Gemäß Artikel 4-8 ist ein Auftragsverarbeiter „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. Er darf nur im Rahmen eines Vertrags oder eines anderen Rechtsakts der Europäischen Union tätig werden, der seine Datenschutzverpflichtungen bekräftigt (Artikel 28-3).

Im September 2017 veröffentlichte die CNIL einen Leitfaden für Subunternehmer, der deren Rolle und Wesen in der Datenverarbeitungs- und Datenschutzkette klarstellt.

Trotz seiner genauen Definition kann der Begriff Subunternehmer auf viele Strukturen angewendet werden, die im Folgenden aufgeführt sind:

„– IT-Dienstleister (Hosting, Wartung usw.), Softwareintegratoren, IT-Sicherheitsunternehmen, digitale Serviceunternehmen oder frühere IT-Service- und Engineering-Unternehmen (SSII), die Zugriff auf die Daten haben;

– Marketing- oder Kommunikationsagenturen, die personenbezogene Daten im Auftrag von Kunden verarbeiten;

– allgemeiner jede Organisation, die eine Dienstleistung oder Bereitstellung anbietet, bei der personenbezogene Daten im Auftrag einer anderen Organisation verarbeitet werden;

– Der Erwerb einer solchen Qualifikation kann auch von einer öffentlichen Einrichtung oder einem Verein verlangt werden.“

Bitte beachten Sie, dass bei der Datenverarbeitung im eigenen Auftrag (z.B. Personalverwaltung) der Subunternehmer für die Verarbeitung verantwortlich ist. Dies gilt auch dann, wenn er die Zwecke und Mittel der Verarbeitung selbst bestimmt.

Bei Zweifeln hinsichtlich des Status – Verantwortlicher oder Auftragsverarbeiter – verweist die CNIL auf die Stellungnahme der europäischen Aufsichtsbehörden vom 16. Februar 2010, die eine Reihe von Anhaltspunkten enthält, die genutzt werden können:

– die Autonomie des Dienstleisters bei der Erbringung seiner Dienstleistung;

– Überwachung des Dienstes;

– der Mehrwert, d. h. das Fachwissen, das der Dienstleister bereitstellt;

– der Grad der Transparenz hinsichtlich der Nutzung eines Dienstleisters (ist dessen Identität den betroffenen Personen bekannt, die die Dienste des Kunden nutzen?).

Gemäß der DSGVO ist der Auftragsverarbeiter mitverantwortlich. Er unterstützt den Verantwortlichen bei der Einhaltung seiner Pflichten (Art. 28-3f). Er führt ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten, die im Auftrag des Verantwortlichen durchgeführt werden (Art. 30-2). In den meisten Fällen muss er zudem einen Datenschutzbeauftragten ernennen (Art. 37), worauf wir später noch zurückkommen werden.

Die CNIL legt in ihrem Leitfaden fest, was unter den „ausreichenden Garantien“ zu verstehen ist, die der Subunternehmer bieten muss, um seine Arbeit ausführen zu können:

– Transparenz und Rückverfolgbarkeit (Vertrag, Anweisungen, Register und alle Informationen, die zum Nachweis der Einhaltung der Verpflichtungen erforderlich sind);

– Datenschutz von Anfang an und durch datenschutzfreundliche Voreinstellungen (minimale Verarbeitung, zweckgebunden und nur für diesen Zweck, begrenzte Dauer);

– Sicherheit der verarbeiteten Daten (Vertraulichkeit, Benachrichtigung im Falle einer Datenpanne, Löschung oder Rückgabe der Daten nach Beendigung der Dienstleistung);

– Hilfe, Alarmierung und Beratung.

Vergibt der Subunternehmer ebenfalls Unteraufträge, muss er zuvor eine schriftliche Genehmigung des Verantwortlichen einholen (Art. 28-2). Dieser zweite Subunternehmer unterliegt denselben Verpflichtungen, auch wenn er seinen Sitz außerhalb der Europäischen Union hat. Bei Nichteinhaltung dieser Verpflichtungen haftet der erste Subunternehmer. Anders ausgedrückt: Im Falle eines Problems kann man sich nicht mit dem Standort eines Dienstleisters in Marokko oder Singapur herausreden, um eine nicht DSGVO-konforme Verarbeitung zu rechtfertigen.

Die CNIL empfiehlt, bestehende Verträge durch Nachträge zu ändern, um die in der europäischen Verordnung vorgesehenen obligatorischen Klauseln aufzunehmen.

Ist ein Subunternehmer in mehreren EU-Ländern tätig, ist eine zentrale Anlaufstelle möglich. Artikel 56-1 sieht vor, dass die federführende Behörde diejenige der Hauptniederlassung ist. Hat ein Subunternehmer keine Niederlassung in der EU, muss er einen Vertreter benennen, der als Ansprechpartner für die betroffenen Personen und die Aufsichtsbehörden fungiert.

Die Sanktionen, die einem Subunternehmer im Falle der Nichterfüllung seiner Verpflichtungen auferlegt werden, können ebenso schwerwiegend sein wie die Sanktionen, die einem für die Verarbeitung Verantwortlichen auferlegt werden.