EDSA konkretisiert Pflichten bei der Auftragsverarbeitung

In einer kürzlich veröffentlichten Stellungnahme hat der EDSA die Pflichten von Verantwortlichen bei der Beauftragung von Auftragsverarbeitern und Unterauftragsverarbeitern konkretisiert. Gefordert wird ein gutes Vertragsmanagement.

Verantwortliche müssen jederzeit Informationen über Identität aller Auftrags- und Unterauftragsverarbeiter bereithalten

Der Europäische Datenschutzausschuss (EDSA) kommt in seiner Stellungnahme vom 7. Oktober 2024 zu dem Schluss, dass Verantwortliche Informationen über die Identität (d. h. Name, Adresse, Kontaktperson) aller Auftrags- und Unterauftragsverarbeiter jederzeit bereithalten sollten, damit sie ihre Verpflichtungen gemäß Art. 28 DSGVO erfüllen können. Das gilt unabhängig von dem Risiko, das mit einer Verarbeitungstätigkeit verbunden ist. Zu diesem Zweck soll der jeweilige Auftragsverarbeiter dem Verantwortlichen proaktiv Informationen zur Verfügung stellen und sie jederzeit auf dem neusten Stand halten.

Konkretisierung der Auswahl- und Überwachungsverantwortung des Verantwortlichen

Gemäß Art. 28 Abs. 1 DSGVO darf der Verantwortliche nur mit (Unter-)Auftragsverarbeitern zusammenarbeiten, die „hinreichende Garantien“ für eine ordnungsgemäße Datenverarbeitung bieten. Den Verantwortlichen trifft also eine Auswahl- und Überwachungsverantwortung. Diese hat der EDSA nunmehr dahingehend konkretisiert, dass der Verantwortliche insbesondere sicherzustellen hat, dass das Schutzniveau für Betroffenenrechte durch die Einbindung des Auftragsverarbeiters nicht gesenkt wird. Die Auswahl- und Überwachungsverantwortung soll zudem unabhängig von dem Risiko gelten, das für die Rechte und Freiheiten der betroffenen Personen besteht. Sie bleibt ferner auch bei Beauftragung eines Unterauftragsverarbeiters bestehen. So hat der Verantwortliche auch die vom Erstverarbeiter erhaltenen Informationen über den Unterauftragsverarbeiter kritisch zu überprüfen, insbesondere bei Verarbeitungen, die ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen bergen. Die DSGVO verpflichtet ihn laut EDSA aber nicht dazu, systematisch die Unterverarbeitungsverträge anzufordern, um zu prüfen, ob die im ursprünglichen Vertrag vorgesehenen Datenschutzverpflichtungen in der Verarbeitungskette weitergegeben worden sind.

Auswahl- und Überwachungsverantwortung des Verantwortlichen auch bei Drittlandsübermittlungen

Der EDSA hat zudem klargestellt, dass auch bei Übermittlungen von personenbezogenen Daten außerhalb des Europäischen Wirtschaftsraums, zusätzlich zu den sich aus Art. 44 DSGVO ergebenden Pflichten, die Auswahl- und Überwachungs-verantwortung des Verantwortlichen gem. Art. 28 Abs. 1 DSGVO eingreift. Der Verantwortliche sollte auch in diesem Zusammenhang Informationen darüber bereithalten können, welche Datenübermittlungen stattfinden und auf welche Rechtsgrundlagen sie sich stützen. Den Auftragsverarbeiter trifft wiederum die Pflicht dem Verantwortlichen die hierfür relevante Dokumentation der Übermittlungssachverhalte zur Verfügung zu stellen.

EDSA-Empfehlung für Vertragsgestaltung

Der EDSA befasst sich in der Stellungnahme auch mit der Gestaltung von Verträgen zwischen Verantwortlichen und Auftragsverarbeitern. Ein grundlegendes Element sei die Verpflichtung des Auftragsverarbeiters, personenbezogene Daten nur auf dokumentierte Weisung des für die Verarbeitung Verantwortlichen zu verarbeiten, „sofern er nicht durch das Recht der Union oder der Mitgliedstaaten, dem der Auftragsverarbeiter unterliegt, hierzu verpflichtet ist“ (Art. 28 Abs. 3 lit. a) DSGVO). Die Aufnahme einer entsprechenden Klausel, die dieser Ausnahme Rechnung trägt, in Auftragsverarbeitungsverträge sei „sehr empfehlenswert“. Der EDSA betont in diesem Zusammenhang zudem, dass die Formulierung als solche jedoch nicht ausreiche, um im Falle einer Drittslandsübermittlung die Einhaltung der Voraussetzungen des Art. 28 Abs. 3 lit. a) i. V. m. Art. 44 ff. DSGVO zu gewährleisten.

Team Datenschutz