Mitgefangen, mitgehangen - Subdienstleister richtig auswählen

Oder, für die Kaffeeliebhaber*innen unter uns: Nicht jeder Coffee Blend ist bekömmlich

Subdienstleister auswählen – klingt trocken, kann aber schnell richtig brenzlig werden.

Denn wie beim Kaffee gilt: Die Mischung macht’s. Wer nur auf schöne Verpackung oder große Versprechen schaut, hat am Ende vielleicht nur lauwarmen Bürokaffee in der Tasse – und ein Projekt, das eher wachhält als begeistert. In diesem Artikel zeigen wir, worauf es wirklich ankommt, wenn man sich mit Subdienstleistern ins Boot (oder an die Kaffeemaschine) setzt – damit Zusammenarbeit nicht zur bitteren Erfahrung wird.

Hier finden Sie weitere Informationen, die die Podcastfolge Nr. 8 zum Thema ergänzen. 

Art. 28 Abs. 1 DSGVO:

"Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet."

"Übersetzt" bedeutet dies, den Verantwortlichen trifft eine Auswahlverantwortlichkeit, dahingehend, eine Verarbeitung personenbezogener Daten nur an einen geeigneten Auftragsverarbeiter auszulagern. "Eignung" bezieht sich hier auf die technisch-organisatorischen Maßnahmen ("TOMs"), die so ausgestaltet sein müssen, dass sie ein dem mit der Datenverarbeitung verbundenen Risiko angemessenes Schutzniveau gewährleisten.

In die Bewertung sind neben "klassischen TOMs", die vom Auftragsverarbeiter angeboten werden wie etwa Verschlüsselungstechniken, Pseudonymisierung oder Videoüberwachung von Ein- und Ausgängen jedenfalls auch das konkret für die Verarbeitung erforderliche Fachwissen, als auch die Zuverlässigkeit und die Ressourcen des Auftragnehmers von Relevanz (vgl. ErwGr 81)

Mindestinhalt eines Vertrages nach Art. 28 Abs. 3 DSGVO

  • Gegenstand und Dauer der Verarbeitung 
  • Art und Zweck der Verarbeitung - Beschreibung der Verarbeitungsschritte (zB Erheben, Speichern, Löschen, Transferieren etc) und Beschreibung des Zwecks der Verarbeitung
  • Art der personenbezogenen Daten - Verarbeitung besonderer Datenkategorien nach Art 9 DSGVO oder "einfache" Kontaktdaten wie Emailadresse oder Postanschrift? (wesentlich für die Beurteilung des Risikos, das mit der Verarbeitung verbunden ist, und entsprechend adäquater TOMs)
  • Kategorien der betroffenen Personen - zB Mitarbeiter*innen, Appuser*innen, Bewerber*innen etc
  • Rechte und Pflichten des Verantwortlichen

Darüber hinaus auch u.a.

  • TOMs nach Art. 32 DSGVO (diese sollten möglichst genau beschrieben sein, um zu dokumentieren, dass diese adäquat zum Datenverarbeitungsrisiko sind, dh keine generischen Platzhalter am besten)
  • Bedingungen, unter denen weitere Auftragsverarbeiter in Anspruch genommen werden können
  • Weisungsrecht des Verantwortlichen
  • betroffene Mitarbeiter*innen des Dienstleisters wurden zur Vertraulichkeit verpflichtet

Geldbuße nach Art. 83 DSGVO

Bei Verletzung der Pflichten des Verantwortlichen und der Auftragsverarbeiter nach Artt. 8, 11, 25 bis 39, 42 und 42 DSGVO können Geldbußen in der Höhe von bis zu EUR 10Mio oder 2% des weltweit erzielten Jahresumsatzes verhängt werden, wobei unter anderem Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes berücksichtigt werden als auch etwa die Art, Schwere und Dauer des Verstoßes.

Schadenersatz nach Art. 82 DSGVO

In Art. 82 Abs. 2 2. Satz DSGVO heißt es: "Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat." In diesen genannten Fällen kann somit eine Haftungsbefreiung des Verantwortlichen in Betracht kommen. 

Nach Art. 82 Abs. 3 DSGVO normiert darüber hinaus, dass der Verantwortliche von einer Haftung entbunden wird, "wenn er nachweist, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist." 

Für den Verantwortlichen bedeutet dies, in Bezug auf seine Auftragsverarbeiter, dass ihn auch eine Nachweispflicht dahingehend trifft, dass ihn weder ein Auswahlverschulden noch ein Überwachungsverschulden trifft (vgl. hierzu auch Der DatKomm, Art 28 Rz 42)