EDSA: Neue Stellungnahme zu Auftragsverarbeitern – neue Pflichten für Verantwortliche?

Der europäische Datenschutzausschuss (EDSA) veröffentlichte eine neue Stellungnahme zu den Verpflichtungen von Verantwortlichen, die sich aus der Abhängigkeit von Auftragsverarbeitern und Unterauftragsverarbeitern ergeben, die ein Unternehmen als Dienstleister bei der Verarbeitung von personenbezogenen Daten einsetzt.

Die Stellungnahme 22/2024 des EDSA gibt spannende Einblicke darüber, welche Dokumentationspflichten Verantwortliche in Bezug auf die Auftragsverarbeitungskette haben, und sieht gleichzeitig strenge Dokumentations- und Sorgfaltspflichten vor, die weit über das hinausgehen, was bisher als ausreichend angesehen wurde.

Die wichtigsten Punkte der Stellungnahme dürfen wir Ihnen im Folgenden zusammenfassen.

„Know your processors“

Der EDSA betonte zunächst, dass Verantwortliche grundlegende Informationen über die Identität (Name, Anschrift, Kontaktperson) aller Auftragsverarbeiter, aber auch aller Unterauftragsverarbeiter unabhängig von der Länge der Verarbeitungskette jederzeit zur Hand haben sollten. Auftragsverarbeiter sollten den Verantwortlichen diese Informationen dabei proaktiv zur Verfügung stellen und sie stets auf dem neuesten Stand halten. Was einfach klingt, ist in der Praxis oft eine kaum zu bewältigende Herausforderung, da diese Verarbeitungskette – gerade bei Nutzung von Standardlösungen großer IT-Dienstleister – oft dutzende oder gar hunderte Unternehmen umfasst. Eine genaue Dokumentationsstruktur ist daher erforderlich, um diese Pflichten einhalten zu können.

Unterauftragsverarbeiter – keine systematische Prüfung notwendig

Der EDSA stellte auch klar, dass für Verantwortliche keine Pflicht zur systematischen Überprüfung besteht, ob die Datenschutzpflichten zwischen Auftragsverarbeiter und Unterauftragsverarbeiter weitergegeben wurden. Zwar hat der Verantwortliche das Recht, vom Auftragsverarbeiter eine Kopie des Vertrages mit dem Unterauftragsverarbeiter anzufordern. Ob die Anforderung einer Kopie oder die Einsichtnahme in diese Verträge notwendig ist, muss aber immer im Einzelfall entschieden werden. Nach Ansicht des EDSA sollte insbesondere bei Verarbeitungen mit hohem Risiko für Betroffene eine genauere Überprüfung durch den Verantwortlichen stattfinden.

Gleichzeitig bedeutet das natürlich, dass auch diese Risikoanalysen im Unternehmen durchgeführt und dokumentiert werden müssen.

Datenübermittlung außerhalb des EWR bleibt Chefsache

Des Weiteren betonte der EDSA, dass beim Export von Daten von einem Auftragsverarbeiter an einen Unterauftragsverarbeiter außerhalb des EWR der Verantwortliche für die Erstellung der einschlägigen Dokumentation zuständig bleibt. Der Umfang der Überprüfungspflicht des Verantwortlichen hängt hier neben dem allgemeinen Risiko der Verarbeitung von der Rechtsgrundlage für die Übermittlung ab und davon, ob es sich um einen erstmaligen Export oder eine Weiterübermittlung handelt. Auch hier gilt, dass die Risikoanalyse entsprechend dokumentiert werden sollte.

Cyberrisiko in der Lieferkette beachten

Für Unternehmen, die den neuen Cybersecurity-Pflichten nach DORA oder NIS2 unterliegen, spielt die Dokumentation und Kontrolle der Auftragsverarbeiter und Unterauftragsverarbeiter eine besonders wichtige Rolle. Nach diesen Bestimmungen muss nämlich aktiv geprüft werden, ob die eingesetzten Dienstleister ein angemessenes Datenschutzniveau einhalten. Damit soll verhindert werden, dass über solche Dienstleister ein Cyberrisiko „eingekauft“ wird.

Auch der EDSA unterstrich die Pflicht von Verantwortlichen, zu überprüfen, ob der jeweilige Auftragsverarbeiter ein angemessenes Sicherheitsniveau für die Verarbeitung bietet. Der Umfang einer solchen Überprüfung variiert dabei insbesondere je nach Risiko, das mit der Verarbeitung verbunden ist. Diese Risikoanalysen muss das Unternehmen durchführen und dokumentieren.

Was dies für Unternehmen bedeutet

Unternehmen sollten sich die Stellungnahme des EDSA zu Herzen nehmen und ihre Datenschutz-Dokumentation entsprechend überarbeiten. Jedenfalls ist dies ein guter Anlass, um die eigene Datenschutzdokumentation, darunter insbesondere das Verarbeitungsverzeichnis, zu aktualisieren. Insbesondere sollte darauf geachtet werden,

• dass zumindest Name, Anschrift und die Kontaktperson sämtlicher Auftragsverarbeiter sowie Unterauftragsverarbeiter dokumentiert sind und diese Daten in regelmäßigen Abständen aktualisiert werden

• potenziell kritische Datenverarbeitungen sowie Datenübermittlungen außerhalb des EWR zu identifizieren und die Verarbeitungskette für diese Verarbeitungen genauer zu durchleuchten

• nicht davor zurückzuscheuen, bei Bedarf Einsicht in die Verträge zwischen Auftragsverarbeiter und Unterauftragsverarbeiter zu nehmen, Nachweise für die Einhaltung der Gesetze zu fordern oder auch Audit-Rechte geltend zu machen und all dies entsprechend zu dokumentieren.

Gerne unterstützen wir Sie beim Erstellen der notwendigen Dokumentation!