Bereichsausnahmen bei der Einschaltung von Unterauftragsverarbeitern

Auftragsverarbeiter führen ihre Dienstleistungen und die damit verbundene Datenverarbeitung häufig nicht vollkommen eigenständig durch, sondern beauftragen dafür ihrerseits weitere Dienstleister. Da dies in der Praxis oftmals ausufern kann, versuchen Auftragsverarbeiter eine Eingrenzung in den Auftragsverarbeitungsvereinbarungen („AVV“) zu erwirken, indem bestimmte Bereiche an Nebenleistungen von den Regelungen zur Unterbeauftragung bereits im Vorfeld ausgenommen werden. Ist diese Vorgehensweise gesetzlich zulässig und wie ist in der Praxis damit umzugehen?

Das Problem: Einschaltung von Unterauftragsverarbeitern

In der AVV wird für bestimmte Bereiche eine Ausnahme von der Genehmigung für die Beauftragung von Unterauftragsverarbeitern vereinbart. Beispiel aus einer AVV:

„Abweichend von den Bestimmungen zur Beauftragung von Unterauftragnehmern, die eine vorherige Genehmigung des Auftraggebers vorsehen, ist für Dienstleistungen, die der Auftragsverarbeiter bei Dritten als Nebenleistung zur Unterstützung bei der Auftragsdurchführung in Anspruch nimmt, wie z. B Telekommunikationsleistungen, Cloud-Services und SaaS, keine Genehmigung des Auftraggebers erforderlich.“

Ist das zulässig?

Gesetzliche und aufsichtsbehördliche Vorgaben

Wenn der beauftragte Subunternehmer aus datenschutzrechtlicher Sicht ebenfalls als Auftragsverarbeiter gilt, müssen die in Artikel 28 Abs. 2 und 4 DSGVO genannten Bedingungen für die Inanspruchnahme der Dienste eines weiteren Auftragsverarbeiters eingehalten werden und nach Art. 28 Abs. 3 S. 2 lit. d) DSGVO in der AVV geregelt werden.  Dies beinhaltet die Genehmigungspflicht des Auftraggebers und sein Vetorecht sowie die Gewährleistung, dass die Unterbeauftragung denselben Anforderungen genügt, wie die Beauftragung des Auftragsverarbeiters durch den Verantwortlichen. Dadurch wird ein konstantes Datenschutzniveau sichergestellt, dass auch über Leistungsketten hinweg aufrechterhalten bleibt.

Eine Bereichsausnahme für Tätigkeiten, die eine Auftragsverarbeitung darstellen, verstößt gegen diese gesetzlichen Vorgaben und wird von den Aufsichtsbehörden als unzulässig erachtet. Tatsächlich wird hierdurch die in Art. 28 Abs. 2 DSGVO vorgeschriebene Genehmigungspflicht des Auftraggebers und sein Vetorecht unterlaufen und es ist nicht sichergestellt, dass der Unterauftragsverarbeiter dasselbe Datenschutzniveau gewährleistet wie der Auftragsverarbeiter.

Einordnung der Nebenleistung

In der Praxis muss daher eine Prüfung erfolgen, ob es sich bei den ausgenommenen Nebenleistungen um eine Auftragsverarbeitung im datenschutzrechtlichen Sinne handelt. Entscheidendes Kriterium dafür ist, ob die weiteren Dienstleister mit der Verarbeitung personenbezogener Daten beauftragt werden. Steht die Verarbeitung personenbezogener Daten nicht im Mittelpunkt der zu erbringenden Nebenleistung oder ist zumindest kein wesentlicher Bestandteil dieser Leistung, liegt ggf. keine Auftragsverarbeitung im Sinne des Datenschutzrechts vor.

Zur Beurteilung, ob ein Dienstleister als Unterbeauftragter handelt, können Auslegungshilfen der Aufsichtsbehörden auf deren Internetseiten, wie z. B. hier des Landesbeauftragten für den Datenschutz Niedersachsen, herangezogen werden.

Von den Aufsichtsbehörden werden als Beispiele für Nebenleistungen, die zwar einen Zugang zu personenbezogenen Daten mit sich bringen können, bei denen der Umgang mit diesen personenbezogenen Daten aber nicht den Kern der Leistung ausmacht und damit nicht als Auftragsverarbeitung zu behandeln sind, z. B.

• Postdienste,
• Telekommunikationsdienste und
• Reinigungsdienste

genannt.

Als Auftragsverarbeitung im datenschutzrechtlichen Sinne werden dagegen z. B. die folgenden Dienstleistungen angesehen:

• IT-Wartung,
• Datenträgerentsorgung und
• Werbeadressenverarbeitung in einem Lettershop.

Schwierigkeiten bei der Einordnung

Bei einigen Dienstleistungen, wie z. B. der IT-Wartung, bereitet die Abwägung, ob eine (Unter-)auftragsverarbeitung vorliegt, besondere Schwierigkeiten. Wird das obenstehende Kriterium, dass die Verarbeitung der personenbezogenen Daten einen wesentlichen Bestandteil der Dienstleistung ausmachen müssen, herangezogen, lässt sich eine Auftragsverarbeitung in einigen Fällen nur schwer bejahen.

Dennoch vertreten die Aufsichtsbehörden beim Beispiel IT-Wartung die Meinung, dass eine Auftragsverarbeitung vorliegt, sofern nicht rein technische Wartungen der Infrastruktur vorgenommen werden wie z. B. Arbeiten an der Stromzufuhr, Kühlung und Heizung.

Der Landesbeauftragte für den Datenschutz in Niedersachsen erklärt:

„Aufgrund der im Rahmen der Fernwartung bestehenden technischen Möglichkeit zur systematischen und umfassenden Verarbeitung personenbezogener Daten ist im Hinblick auf die Leistung des Auftragnehmers stets ein entsprechender Schwerpunkt in der Datenverarbeitung zu sehen.“

und verweist auf das Kurzpapier Nr. 13 der DSK, in dem in diesem Fall ebenfalls von einer Form der Auftragsverarbeitung ausgegangen wird, sofern die „Notwendigkeit oder Möglichkeit des Zugriffs auf personenbezogene Daten“ besteht. Begründet wird dies dort mit der weiten Definition der Verarbeitung im Gesetz (z. B. Auslesen, Abfragen, Verwenden).

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat jüngst seine Abgrenzungshilfe „Was ist Auftragsverarbeitung und was nicht?“ überarbeitet. Während in der vorangegangenen Version noch eine Menge an Beispielen von Dienstleistungen aufgezählt wurden, die entweder als Auftragsverarbeitung oder andere Tätigkeiten klassifiziert wurden, konzentriert sich das BayLDA in der aktualisierten Version darauf, die gesetzlichen Kriterien für die zutreffende Einordnung näher zu erläutern.

Neben dem obenstehenden Kriterium, nachdem die Verarbeitung personenbezogener Daten einen wesentlichen Bestandteil der Dienstleistung darstellen muss, um als Auftragsverarbeitung klassifiziert zu werden, sind auch nach Auffassung des BayLDA solche Dienstleistungen als Auftragsverarbeitung einzuordnen,

„die nach ihrem Hauptgegenstand bzw. ihrem Inhalt zwar nicht auf die Verarbeitung von personenbezogenen Daten abzielen, jedoch einen systematischen, umfangreichen Zugang zu personenbezogenen Daten unvermeidlich mit sich bringen.“ Für Beispiele verweist das BayLDA auf die Leitlinien 07/2020 des Europäischen Datenschutzausschusses in der Version 2.0 vom 7. Juli 2021.

Folgen für das praktische Vorgehen

Unproblematisch ist es, wenn die ausgenommenen Dienstleister tatsächlich keine (Unter-) Auftragsverarbeiter sind. In diesen Fällen sind die Regelungen für die Unterbeauftragung nicht anzuwenden und es bedarf erst gar nicht einer Bereichsausnahme in der AVV.

Handelt es sich dagegen um Unterauftragsverarbeiter, dürfen deren Tätigkeiten nicht von den Regelungen der Unterbeauftragung in der AVV ausgenommen werden. Die Folge wäre, wie oben beschrieben, eine Aushebelung der Genehmigungspflicht des Verantwortlichen sowie die fehlende Sicherstellung eines durch die Leistungskette hindurchgehendes, gleichbleibendes Datenschutzniveaus. Bereitet die Einordnung Schwierigkeiten, sollte beim Abschluss einer AVV darauf hingewirkt werden, dass die Nebenleistung nicht pauschal von den Pflichten des Auftragnehmers bei der Unterbeauftragung ausgenommen wird. Zu Gunsten der Praxistauglichkeit sollte mindestens eine Abwägung stattfinden, wie wahrscheinlich und umfangreich ein Zugriff auf personenbezogene Daten bei der Erbringung der Nebenleistung auch im Hinblick auf die technischen Möglichkeiten sein wird und welche Daten unter Berücksichtigung ihrer Sensibilität und des Umfangs betroffen sein könnten.
Von der Seite des Auftraggebers aus betrachtet, sollten fragliche Dienstleistungen sicherheitshalber als zustimmungspflichtige Unterbeauftragung eingeordnet werden.

Fazit

In der Praxis kann es Umstände bereiten , wenn jeder Unterauftragsverarbeiter entsprechend der gesetzlichen Vorgaben vom Verantwortlichen genehmigt werden muss. Zur Aufrechterhaltung des Datenschutzniveaus, dass letztendlich der Verantwortliche durchweg zu gewährleisten hat, ist dies aber erforderlich.

Gegebenenfalls muss im Einzelfall geprüft werden, ob tatsächlich eine (Unter-)auftragsverarbeitung vorliegt. Dies ist zu bejahen, wenn die Verarbeitung personenbezogener Daten einen wesentlichen Bestandteil der Dienstleistung ausmacht oder die Dienstleistung einen systematischen, umfangreichen Zugang zu personenbezogenen Daten unvermeidlich mit sich bringt.

Von einer pauschalen Bereichsausnahme in der AVV sollte besser Abstand genommen werden.

Lösungsansätze zu weiteren, immer wieder auftretenden Problemen beim Abschluss von AVV, finden Sie in den Unterlagen zu unserem kostenlosen Webinar vom 25. Juni dieses Jahres.

Abonnieren Sie auch gerne unseren Newsletter, um bei den Entwicklungen im Datenschutz immer auf dem aktuellen Stand zu sein.