Auftragsverarbeitung | Short-Cut

Stärkung der Betroffenenrechte

In komplexen, tief verschachtelten Auftragsverhältnissen erfolgt die eigentliche Verarbeitung der Daten vielfach einige kaufmännische Stufen vom Verantwortlichen entfernt. Die kommerziellen Vereinbarungen sind oft noch tiefer geschachtelt, als es die untenstehende Graphik schematisch zeigt.

Die Lösung ist umstritten. Aber wir halten es für zielführend, mit der Auftragsverarbeitungs-Vereinbarung (AV-V) kaufmännische Stufen der Beauftragungskette zu überspringen und einen direkten Draht zwischen Verantwortlichen und dem eigentlichen Auftragsverarbeiter zu etablieren. Hierdurch dürften die Betroffenenrechte eine wirksame Stärkung erfahren.

Selbstredend muss die AV-V sauber auf die kaufmännischen Regelungen Bezug nehmen, so wie es auch ein Einvernehmen aller Beteiligten zu so einer Lösung braucht.

Übrigens: Wer eine AV-V bei langen Unterauftragsketten 1:1 entlang der kommerziellen Verträge abschließen lässt, muss mit den üblichen Standardvertragsmustern vorsichtig sein! Dort wird der Auftraggeber gerne als Verantwortlicher im Sinne der DSGVO definiert. Das ist in einer Kette von AVs jedoch eben nicht der Fall; da sind die Auftraggeber des Subs ebenfalls Auftragsverarbeiter und verlagern die ihnen anvertraute Verarbeitung nur weiter. Hier dann die Regeln für einen Verantwortlichen anzuwenden, greift bei Licht betrachtet ins Leere. Solche AV-V sind somit formell ein gewisses Risiko.

Der AG beauftragt zur Vereinfachung einen GU zur Erbringung diverser Services [A].

Einige dieser Services überträgt der GU als jeweils fachlich klar abgegrenztes Paket vollständig auf Spezialisten (Dienstleister I und II), erbringt also selbst keine Tätigkeiten für diese Services [B].

Die Tätigkeit von Dienstleister II wird als Auftragsverarbeitung bewertet.

Dienstleister II greift für Teile seiner Leistungserbringung (Auftragsverarbeitung, AV) auf einen weiteren Spezialisten zu [C].

Durch die Übernahme eines Teils einer AV ist auch III ein Auftragsverarbeiter.

Die Rechtsbeziehungen A, B und C sind durch kaufmännische Verträge geregelt (inkl. SLA, Pönalen etc.); durch blaue Pfeile gekennzeichnet.

II schließt mit III eine AV-Vereinbarung entlang der kfm. Regelung [C].

AG schließt wiederum direkt mit II und im Einvernehmen mit GU eine AV-Vereinbarung [D].

Die direkte Regelung [D] der datenschutzrechtlichen Aspekte gestaltet insb. das alltägliche Weisungsrecht und die Wahrung der Betroffenenrechte zwischen Controller (AG) und dem eigentlichen Processor (II) effizienter.

Eine direkte Regelung vom AG zu III erscheint wiederum nicht im Interesse der Betroffenen, da III nur eine integrale Teilmenge der von II erbrachten Services erbringt und damit keine modulare, für den AG gut erkenn- und steuerbare Leistung. Datenschutzrechtliche Weisungen sind also besser vom AG (Controller) über II (Processor) an III (Subprocessor) heranzutragen; II steuert III.

GU ist formell aus dem kaufmännischen Vertrag als Processor zu bezeichnen, ist an der Erbringung der Leistung des eigentlichen Processors II aber nicht beteiligt. Eine Einbindung bei der Wahrung der Betroffenenrechte ergäbe somit keinen Mehrwert.

Die kaufmännischen Regelungen werden im Interesse von AG, II und GU weiter durch GU gebündelt. Datenschutz-Weisungen von AG an II oder III, die kfm. Wirkung haben, wirken auf die kaufmännischen Verträge A, B und C.