Ein aktuelles Urteil des OLG Dresden (Az.: 4 U 940/24) und eine Stellungnahme des Europäischen Datenschutzausschusses (EDSA) rücken erneut die Verantwortung von Unternehmen bei der Auftragsverarbeitung in den Fokus. Besonders die Überwachung der gesamten Verarbeiterkette, von Auftrags- bis hin zu Sub- und Sub-Sub-Verarbeitern, erfordert klare Maßnahmen. Was bedeutet dies konkret, und worauf sollten Verantwortliche achten – auch bei der Kontrolle der Sub-Unternehmers?
Die Verarbeitungskette & Kontrolle der (Sub-)Unternehmer
Nahezu jedes Unternehmen arbeitet heutzutage mit externen Dienstleistern zusammen, die personenbezogene Daten verarbeiten. Diese Auftragsverarbeiter setzen oft wiederum eigene Subunternehmen ein, die ihrerseits weitere Subunternehmer nutzen. Eine scheinbar direkte Zusammenarbeit wird so schnell zu einer langen und weit verzweigten Verarbeiterkette. Der ursprüngliche Verantwortliche bleibt jedoch immer für die Daten verantwortlich – auch entlang der gesamten Verarbeiterkette. Nicht nur bei besonders sensiblen Daten ist diese Überwachung entscheidend.
Stellen Sie sich einen Baum vor. Der Stamm, die Grundlage des Ganzen, verzweigen sich erst in stärkerer, dann immer dünnere Äste, bis jeder dieser zahlreichen Ästen in unzähligen Zweigen endet. Und nun übertragen wir diese Bild auf ein Unternehmen. Diese Firma (Stamm) nutzt eine Buchhaltungssoftware, die Finanzdaten verarbeitet. Der Softwareanbieter (stärkerer Ast) verwendet Cloud-Dienste eines IT-Dienstleisters (dünnerer Ast), der wiederum Rechenzentren in Übersee (Zweig) betreibt. Natürlich ist dies nicht der einzige Unterauftragsnehmer des Softwareanbieters. Und auch andere Auftragsverarbeiter (stärkere Äste) unseres Beispielunternehmens – z.B. die genutzte CRM-Software, setzen wiederum eigene Auftragsverarbeiter (dünnere Äste) ein, die auch wieder Subverarbeiter (Zweige) haben.
Aktuelle Rechtslage
Das Urteil des OLG Dresden vom 15.10.2024 beleuchtet, wie wichtig die Kontrolle der Auftragsverarbeiter ist. In diesem Fall versäumte ein Auftragsverarbeiter, Daten nach Vertragsende sicher zu löschen. Obwohl kein konkreter Schaden nachweisbar war, betonte das Gericht, dass die bloße Zusicherung der geplanten Löschung durch den Dienstleister nicht genügt. Verantwortliche Unternehmen (Auftraggeber) müssen sowohl die Auswahl der Auftragsverarbeiter als auch deren regelmäßige Kontrolle ernst nehmen.
Zudem veröffentlichte der Europäische Datenschutzausschuss (EDSA) am 7.10.2024 eine Stellungnahme, die die Rechenschaftspflicht entlang der gesamten Verarbeiterkette hervorhebt. Unternehmen sind verpflichtet, auch Sub- und Sub-Sub-Verarbeiter zu überwachen und die Einhaltung der DSGVO zu dokumentieren.
Herausforderungen in der Praxis
Die Überwachung der gesamten Verarbeiterkette ist jedoch in der Praxis oft komplex oder scheint praktisch kaum umsetzbar. Viele Verantwortliche wissen gar nicht, welche Sub- und Sub-Sub-Auftragsverarbeiter eingebunden sind. Dennoch ist die lückenlose Kontrolle der (Sub-)Unternehmer grundsätzlich auf jeder Ebene erforderlich. Diese Pflicht umfasst auch die Überprüfung der technischen und organisatorischen Maßnahmen (TOM). Um dies sicherzustellen, sind rechtssichere Verträge und klar definierte Kontrollmöglichkeiten erforderlich.
Best Practices bei Beauftragung und Kontrolle der Sub-Unternehmer
Um die DSGVO-Anforderungen bei Auftragsverarbeitern sicherzustellen und das Haftungsrisiko zu minimieren, sollten Unternehmen u.a. folgende Maßnahmen ergreifen:
- Sorgfältige Auswahl: Bei der Auswahl von Dienstleistern sollten strenge Datenschutzkriterien angewandt werden. Idealerweise werden wenige Subunternehmen eingesetzt. Zertifikate und regelmäßige Audits bieten zusätzliche Sicherheit.
- Transparente Vertragsgestaltung: In Verträgen sollten Unternehmen sicherstellen, dass Datenschutzpflichten entlang der gesamten Verarbeiterkette weitergegeben werden. Zudem sind regelmäßige Informationen über Änderungen in der Verarbeitung sowie direkte Kontrollrechte gegenüber Subunternehmern unverzichtbar.
- Kontinuierliche Kontrolle und Dokumentation: Ein Datenschutz-Managementsystem hilft, Prozesse strukturiert zu überwachen und zu dokumentieren. Regelmäßige Audits und Prüfungen sollten fester Bestandteil der Unternehmenspraxis sein.
Fazit: Verantwortung entlang der Verarbeiterkette ernst nehmen
Sowohl das Urteil des OLG Dresden als auch die Stellungnahme des EDSA machen deutlich, wie wichtig eine lückenlose Kontrolle der Verarbeiterkette ist. Unternehmen müssen ihre Auftragsverarbeiter regelmäßig überprüfen, Verträge klar formulieren und die gesamte Verarbeitung dokumentieren. Mit der Unterstützung von Datenschutzexperten und einem strukturierten Datenschutz-Management lassen sich gesetzliche Anforderungen erfüllen und Haftungsrisiken minimieren.
Wir von der SiDIT GmbH unterstützen Sie gerne bei der Gestaltung von Auftragsverarbeitungsverträgen und der Überwachung Ihrer Verarbeiterkette. Lassen Sie uns gemeinsam Ihre Datenschutzstrategie rechtssicher und effizient gestalten. Wenn Sie Fragen zu diesem oder anderen Datenschutzthemen haben, kontaktieren Sie uns unter info@sidit.de.