Unternehmen bleiben gemäß DSGVO auch dann datenschutzrechtlich verantwortlich, wenn sie externe Dienstleister oder Unterauftragnehmer einsetzen. Laut einer aktuellen Stellungnahme des Europäischen Datenschutzausschusses (EDSA) gilt diese Verantwortung für die gesamte Verarbeitungskette – unabhängig davon, wie viele Subunternehmer beteiligt sind.

Die Intensität der Kontrollpflichten richtet sich dabei nach dem Risiko der Datenverarbeitung: Je höher das Risiko für die Betroffenen, desto umfassender muss der Auftraggeber prüfen – gegebenenfalls auch die Verträge und Maßnahmen der Unterauftragnehmer. Standardmäßig genügt jedoch die Kontrolle des direkten Vertragspartners, sofern keine Zweifel an dessen Datenschutzvorkehrungen bestehen.

Ein direkter Zugriff des Auftraggebers auf Subdienstleister ist nicht notwendig, wohl aber kann er vom Hauptauftragnehmer Nachweise wie AV-Verträge und Zertifikate über technische und organisatorische Maßnahmen verlangen. Im Zweifel muss der Auftraggeber zusätzliche Prüfungen einfordern, um seiner Verantwortung gerecht zu werden.

Näheres können Sie den verlinkten Bericht entnehmen: https://www.datenschutz-notizen.de/die-rechte-des-verantwortlichen-bei-unterauftragsverarbeitern-vertrauen-ist-gut-kontrolle-ist-besser-1453737/

Unsere Empfehlung

Wir empfehlen Verantwortlichen, nicht nur ihre direkten Dienstleister regelmäßig zu prüfen, sondern sich auch Nachweise über Datenschutzmaßnahmen entlang der gesamten Verarbeitungskette vorlegen zu lassen. Besonders bei risikobehafteten Verarbeitungen sollten zusätzliche Kontrollen vertraglich abgesichert und aktiv eingefordert werden.