Der Europäische Datenschutzausschuss (EDSA) hat mit seiner Stellungnahme 22/2024 zentrale Klarstellungen zur datenschutzrechtlichen Kontrollverantwortung des Verantwortlichen bei der Auftragsverarbeitung veröffentlicht. Die Aussagen sind insbesondere für mehrstufige Auftragsverhältnisse von Bedeutung und stärken die Rolle des Verantwortlichen: Er kann sich seiner Verpflichtungen nicht durch Delegation entziehen.
Wesentliche Klarstellungen des EDSA
1. Kenntnis aller Beteiligten erforderlich
Verantwortliche müssen sämtliche an der Verarbeitung beteiligten Auftrags- und Unterauftragsverarbeiter identifizieren können. Nur so lassen sich Auskunftsansprüche betroffener Personen gemäß Art. 15 DSGVO ordnungsgemäß erfüllen.
2. Verantwortung über die gesamte Verarbeitungskette
Die datenschutzrechtliche Gesamtverantwortung verbleibt beim Verantwortlichen und das unabhängig von der Anzahl der eingebundenen Auftragsverarbeiter. Dies ergibt sich aus Art. 24 Abs. 1 und Art. 28 Abs. 1 DS-GVO. Eine wirksame Kontrolle der Einhaltung datenschutzrechtlicher Vorgaben muss über alle Stufen hinweg gewährleistet sein.
3. Risikoabhängige Prüfung von Unterauftragsverhältnissen
Je nach Risiko der Verarbeitung steigen die Anforderungen an die Kontrollmaßnahmen. Bei besonders risikobehafteten Verarbeitungen kann eine unmittelbare Prüfung einzelner Unterauftragsverarbeiter erforderlich sein.
4. Einsicht in Unterauftragsverträge
Der Verantwortliche hat das Recht, sich abgeschlossene Unterauftragsvereinbarungen vorlegen zu lassen. Dies insbesondere dann, wenn konkrete Zweifel an deren Datenschutzkonformität bestehen oder Schwachstellen identifiziert wurden.
Anforderungen bei Drittlandübermittlungen
1. Einhaltung der Vorgaben des Kapitels V der DSGVO
Verantwortliche müssen sicherstellen, dass jede Datenübermittlung in ein Drittland auf einer gültigen Rechtsgrundlage erfolgt und die Vorgaben des Kapitels V DSGVO eingehalten werden.
2. Vorliegen eines Angemessenheitsbeschlusses
Existiert ein solcher Beschluss der EU-Kommission für das Zielland, ist keine weitergehende Prüfung erforderlich.
3. Geeignete Garantien bei fehlendem Angemessenheitsbeschluss
Fehlt ein Angemessenheitsbeschluss, sind geeignete Garantien – wie etwa Standarddatenschutzklauseln – erforderlich. Zusätzlich muss ein sogenanntes Transfer Impact Assessment (TIA) durchgeführt werden.
4. Plausibilitätsprüfung des TIA durch den Verantwortlichen
Der Verantwortliche kann sich dabei nicht auf die Einschätzung des Auftragsverarbeiters verlassen, sondern muss die Plausibilität der durchgeführten Prüfungen selbst nachvollziehen und dokumentieren.
Fazit
Die Stellungnahme des EDSA unterstreicht die unveräußerliche Kontrollverantwortung des Verantwortlichen in sämtlichen Stufen der Auftragsverarbeitung. Die Prüfintensität richtet sich zwar nach dem konkreten Risiko der Verarbeitung. Die datenschutzrechtliche Rechenschaftspflicht jedoch bleibt in jedem Fall bestehen.
Datenschutzbeauftragte sind gut beraten, bestehende Prozesse zur Auswahl und Kontrolle von (Unter-) Auftragsverarbeitern kritisch zu überprüfen und risikoorientiert weiterzuentwickeln. Verantwortliche sollten ihren Datenschutzbeauftragten frühzeitig in die Auswahl- und Prüfprozesse einbeziehen.
Weitere Informationen:
- Stellungnahme des EDSA vom 09.10.2024: https://www.edpb.europa.eu/news/news/2024/edpb-adopts-opinion-processors-guidelines-legitimate-interest-statement-draft_de
- Überblick Angemessenheitsbeschlüsse der Europäischen Kommission https://datenschutz.hessen.de/datenschutz/internationaler-datentransfer/angemessenheitsbeschluesse-der-europaeischen-kommission
