DSGVO – Kontrollrechte, Haftung und Inspektionsrecht von Auftragsverarbeiter und Subauftragsverarbeiter

Wie ist es um die Kontrollrechte der Verantwortlichen gegenüber den Subauftragsverarbeitern entsprechend dem Art. 28 Abs. 4 DSGVO (Datenschutzgrundverordnung) bestellt?

Anders dargestellt geht es um die grundlegende Frage:

Muss einem Verantwortlichen, wenn ihm eine Auftragsverarbeitung zugetragen wird und er diese annimmt, ein Inspektionsrecht im Sinne des Art. 28 Abs. 3 lit. h gegenüber anderen (weiteren) Auftragnehmern im Auftragsverarbeitungsvertrag eingeräumt werden, die dann als Subauftragsnehmer zu bezeichnen sind?

 

Regelung in Art. 28 Abs.4 DSGVO

Im Gesetz ist diese Frage nicht ganz eindeutig geklärt. In Art. 28 abs. 4 DGSVO ist diesbezüglich folgendes nachzulesen: (wörtliche Wiedergabe)

“Nimmt der Auftragsverarbeiter die Dienste eines weiteren Auftragsverarbeiters [Subauftragsverarbeiter] in Anspruch, […] so werden diesem […] [Subauftragsverarbeiter] im Wege eines Vertrags oder eines anderen Rechtsinstruments nach dem Unionsrecht oder dem Recht des betreffenden Mitgliedstaats dieselben Datenschutzpflichten auferlegt, die in dem Vertrag oder anderen Rechtsinstrument zwischen dem Verantwortlichen und dem Auftragsverarbeiter gemäß Absatz 3 [des Art. 28 DSGVO] festgelegt sind […].”

 

 

Wer Haftet gegenüber den Betroffenen

Dagegen kann angeführt werden, dass der Auftragsverarbeiter für die korrekte Einhaltung der Pflichten des hinzugezogenen Subauftragsverarbeiters in der Haftung steht, nicht aber der Verantwortliche.

 

Andererseits können Schäden von Betroffenen auch gegenüber dem Verantwortlichen geltend gemacht werden. Diese Möglichkeit basiert auf Art. 82 Abs. 2 S.1 DSGVO. In diesem Absatz heißt es, dass jeder, der an einer Verarbeitung beteiligt ist, somit auch für den Schaden haftet, der durch eine Verarbeitung entstanden ist, die nicht dieser Verordnung entspricht.

 

Dritte erhalten damit die Möglichkeit, auf diese Weise entstandene Schäden gegenüber einem Verantwortlichen geltend zu machen. Dieser allerdings kann sich gegenüber dem eigentlichen Auftragsverarbeiter schadlos halten. Allerdings sollte er beachten, dass er unter Umständen das Ausfallrisiko trägt.

 

Inspektionsrecht im Auftragsverarbeitungsvertrag vereinbaren:

Der Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DSGVO (als Musterformulierung erhältlich für Betroffene) zeigt, dass ein Verantwortlicher ein Inspektionsrecht gegenüber dem Verarbeiter als Subbeauftragten haben muss.

 

Muster „Formulierungshilfe für einen Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO“ des Landesdatenschutzbeauftragen Baden-Württemberg (Seite 6).

Wörtlich heißt es:
“Insbesondere muss der Auftraggeber berechtigt sein, im Bedarfsfall angemessene Überprüfungen und Inspektionen, auch vor Ort, bei Subunternehmern durchzuführen oder durch von ihm beauftragte Dritte durchführen zu lassen.”

 

Auch wenn man die Meinung vertritt, dass die Praxistauglichkeit hier noch Zweifel hervorruft, sollten Beteiligte eine Regelung zum Inspektionsrecht, bezogen auf den Verantwortlichen, unbedingt vereinbaren. Ansonsten kann die Gefahr bestehen, dass der Verarbeiter des Auftrags gegenüber dem Verantwortlichen eine Vertragsverpflichtung eingeht, deren Umsetzung er nicht erfüllen kann. Auch eine nachträgliche Vertragsanpassung mit dem Subauftragsverarbeiter kann bei Bedarf – falls jetzt noch erfoderlich – mit einem Nachtrag auch nachträglich ergänzt werden.”

 

 

Weitere Beiträge zum Auftragsverarbeitungsvertrag

DSGVO – Verantwortlicher und welche Verantwortung

https://datenschutzbeauftragter-dsgvo.com/dsgvo-verantwortlicher-und-welche-verantwortung/

 

DSGVO – Auftragsdatenverarbeiter – Was Beachten – Richtiger Umgang

https://datenschutzbeauftragter-dsgvo.com/dsgvo-auftragsdatenverarbeiter-beachten-richtiger-umgang/

 

DSGVO Arbeitnehmerüberlassung zu Leiharbeitern mit Joint Controllership

https://datenschutzbeauftragter-dsgvo.com/dsgvo-arbeitnehmerueberlassung-zu-leiharbeitern-mit-joint-controllership/