- Der Verantwortliche muss die Verantwortung in mehrgliedrigen Bearbeitungsketten aktiv wahrnehmen und Unklarheiten sind inakzeptabel.
- EDSA fordert umfassende Informationen über alle Auftragsbearbeiter und Unter-Auftragsbearbeiter für gesetzliche Pflichten.
- Überprüfungen der Sicherheitsgarantien sind für jede Stufe der Bearbeitungskette erforderlich, besonders in Hochrisikofällen.
- Bei internationalen Datenübermittlungen bleibt der Verantwortliche haftbar; Risiken müssen evaluiert und geeignete Maßnahmen getroffen werden.
Der Europäische Datenschutzausschuss EDSA hat mit Datum vom 9. Oktober 2024 eine “Opinion 22/2024 on certain obligations following from the reliance on processor(s) and sub-processor(s)” veröffentlicht, also eine Stellungnahme zu bestimmten Pflichten der Verantwortlichen im Zusammenhang mit dem Beizug von Auftragsbearbeitern und insbesondere auch Unter-Auftragsbearbeitern.
Die dänische Behöre hatte auf Basis von Art. 62 Abs. 2 DSGVO eine Reihe konkreter Fragen gestellt, auf die die Opinion antwortet. Sie geht dabei – leider oder zum Glück, je nachdem – nicht auf den Begriff des Auftragsbearbeiters ein.
Im Ergebnis ist der EDSA nicht in allen Punkten besonders streng. Gleichzeitig wird aber einmal mehr klar, dass
- der Verantwortliche seiner Verantwortung auch durch eine mehrgliedrige Bearbeitungskette nicht entkommt, und dass
- die Behörden davon ausgehen, dass die Verantwortlichen das Personal und Budget haben, um diese Verantwortung bewusst, aktiv, laufend und ernsthaft wahrzunehmen. Nicht in allen Details sind die Hinweise des EDSA klar; Unklarheit, wer welche Daten wo verarbeitet, würden die Behörden aber nicht hinnehmen.
Klarheit über die Bearbeitungskette
Zunächst erinnert der EDSA daran, dass der Verantwortliche über die gesamte Kette bestimmt. Der EDSA begründet dies u.a. auch damit, dass der Verantwortliche im Rahmen der Informationspflicht die einzelnen Empfänger nennen muss (der EuGH hat dies erst für das Auskunftsrecht bestätigt, würde es aber sicher auch für die Informationspflicht tun). Daraus ist im Kontext der Opinion zu schliessen, dass als ggf. anzugebende Empfänger nicht nur die erste Stufe gilt, sondern auch jeder UAB anzugeben ist. Der Verantwortliche muss entsprechend auch alle Unter-UAB kennen:
While this is not explicit in these provisions, the Board considers that for the purpose of Article 28(1) and 28(2) GDPR, controllers should have the information on the identity of all processors, subprocessors etc. readily available at all times so that they can best fulfil their obligations under the provisions mentioned above.
Für die Schweiz ist das allerdings kaum übertragbar, schon weil unbestritten ist, dass die Angabe von Kategorien von Empfängern genügt. Dazu kommt, dass der Verantwortliche nach der DSGVO grundsätzlich eine Kausalhaftung für die Auftragsbearbeiter hat (EuGH, Deutsche Wohnen); auch dies ist für den EDSA ein Punkt, aber auch dies ist nicht übertragbar.
Eine Präzisierung findet sich sodann beim in der Praxis üblicheren Vorgehen mit Vetorecht: Hier sollte der AB dem Verantwortlichen proaktiv bestimmte Informationen über neue UAB bereitstellen, der EDSA nennt Name und Gegenstand der Bearbeitung. Das heisst allerdings auch, dass der AB nicht nur neue UAB nennen muss, sondern auch alle Unter-UAB durch die gesamte Kette hindurch, und jeder UAB muss für die nachfolgendenen Ebenen dasselbe tun. Jede Stufe muss entsprechend die gesamte nachgelagerte Bearbeitungskette inventarisieren.
Es genügt aber, wenn diese Informationen jeweils “easily accessible” sind. Eine Mailingliste, bei der sich der Verantwortliche (oder nachfolgend der AB, usw.) eintragen muss, sollte also unproblematisch sein.
Das ist auf die Schweiz schon deshalb nicht übertragbar, weil der Verantwortliche nach der DSGVO zumindest im Fall eines Auskunftsbegehrens die einzelnen Empfänger der Daten nennen muss.
Kontrolle über die Bearbeitungskette
Ausgehend von Accountability-Grundsatz (den der weise schweizerische Gesetzgeber nicht übernommen hat) ist der EDSA der Auffassung, der Verantwortliche müsse die Sicherheit der Daten – verstanden als Datensicherheit, aber auch als Privacy by Design – durch die gesamte Kette sicherstellen:
Articles 24(1) and 28(1) GDPR should be interpreted as requiring the controller to ensure
that the processing chain only consists of processors, sub-processors, sub-sub-processors (etc.) that provide ‘sufficient guarantees to implement appropriate technical and organisational measures’. In addition the controller should be able to prove that it has taken all of the elements provided in the GDPR into serious consideration.
Das betrifft zunächst die erste Stufe des AB, bei dem der Verantwortliche eine den Umständen angemessene Due Diligence (Vendor Assessment, Third-Party Risk Assessment) durchführen muss. Wie er dabei vorzugehen hat, ist offen:
For example, the controller may choose to draw a questionnaire as a means to gather information from its processor to verify the relevant guarantees, ask for the relevant documentation, rely on publicly-available information and/or certifications or audit reports from trustworthy third parties and/or perform on-site audits.
Grundsätzlich muss der Verantwortliche auch für die nachgelagerten Ebenen entsprechende Überlegungen anstellen (und dokumentieren!), aber auch hier sind die Risiken für die Betroffenen massgebend. Und er darf hier die Unterstützung des AB in Anspruch nehmen:
Such duty is facilitated by, on the one hand, the assistance and audit obligations imposed on the processors and, on the other hand, the information provided by the initial processor to the controller before the engagement of additional processors.
Das heisst dann konkret Folgendes:
- Der Auftragsbearbeiter muss alle erforderlichen Informationen liefern, wobei der Vertrag den entsprechenden Mechanismus bestimmen sollte:
The controller should be fully informed as to the details of the processing that are
relevant to demonstrate compliance with the obligations laid down in Article 28 GDPR, and the processor should provide all information on how the processing activity is carried out on behalf of the controller. The contract should specify on how often and how this flow of information should take place. - der Verantwortliche darf sich grundsätzlich auf diese Angaben verlassen;
- dasselbe gilt für die folgenden Ebenen der Kette; der AB hat daher den UAB zu prüfen.
Dies beantwortet allerdings nicht die Frage, welche Rolle der Verantwortliche bei den UAB einzunehmen hat. Der EDSA sagt dazu:
The ultimate decision on whether to engage a specific sub-(sub-)processor and the pertaining responsibility, including with respect to verifying the sufficiency of the guarantees provided by the (sub-)processor, remains with the controller. As already recalled, in case of generic or specific authorisation, it is always up to the controller to decide whether to approve the engagement of this sub-processor or whether to object against it. […]
This entails that the controller may choose to rely on the information received from its processor and if necessary build on it. For example, in case where the information received by the controller seems incomplete, inaccurate or raises questions, or where appropriate based on the circumstances of the case including the risk associated with the processing, the controller should ask for additional information and/or verify the information and complete/correct it if necessary.
Dies lässt die entscheidende Frage offen, ob der Verantwortliche auch den Beizug von Unter-UAB genehmigen muss. Wenn bspw. ein Versicherer Microsoft beizieht (AB) und Microsoft bspw. Snowflake als UAB gemäss der entsprechenden Liste von Microsoft, so ist dies kaum das Ende der Kette. Muss Microsoft den Kunden also auch informieren, wenn Snowflake einen neuen Provider beizieht?
Es ist kaum ein Zufall, dass der EDSA diese Frage nicht explizit anspricht. Immerhin deutet ein folgender Hinweis darauf hin, dass der Verantwortliche im Normalfall nicht so weit gehen muss, sondern nur in Hochrisikofällen (denn erst hier bezieht sich der EDSA nicht nur auf UAB, die der Verantwortliche genehmigen muss, sondern ausdrücklich auf die gesamte Kette):
More specifically, for processing presenting a high risk to the rights and freedoms of data subjects, the controller should increase its level of verification in terms of checking the information provided regarding the guarantees presented by the different processors in the processing chain.
Der Verantwortliche hat ferner das Recht, den ADV zwischen dem AB und dem UAB einzusehen, und gemäss EDSA kann er auch die Verträge in der weiteren Kette verlangen. Er muss das aber nicht zwingend tun:
This said, the controller does not have a duty to systematically ask for the sub-processing contracts to check whether the data protection obligations provided for in the initial contract have been passed down the processing chain. The controller should assess, on a case-by-case basis, whether requesting a copy of such contracts or reviewing them at any time is necessary for it to be able to demonstrate compliance in light of the principle of accountability. In the context of exercising its right of audit under 28(3)(h), the controller should have a process in place to undertake audit campaigns in order to check by sampling verifications that the contracts with its sub-processors contain the necessary data protection obligations.
Übermittlung ins Ausland
Auch hier beginnt der EDSA mit der Verantwortung des Verantwortlichen – im Fall eines unerlaubten Onward Transfer durch einen AB oder UAB bleibt er verantwortlich, und er kann dadurch gegen Art. 44 DSGVO verstossen:
For example, both the controller and the processor remain, in principle, responsible under Chapter V GDPR for an unlawful initial or onward transfer and therefore could be both and individually be held liable in the event of an infringement.
Es gilt aber dasselbe wie oben: Wie der Verantwortliche seine Verantwortung wahrnimmt, ist damit noch nicht gesagt. Insofern ändert das Thema der Auslandsübermittlung nichts; der Verantwortliche muss risikobasiert geeignete Prüfungen durchführen und Massnahmen gegen Verletzungen treffen. Er muss sich bei der Genehmigung eines UAB deshalb auch informieren lassen, welche Daten dadurch ggf. in einen Drittstaat gelangen (“Mapping”), und wenn er Zweifel an der Qualität der Informationen hat, muss er nachfragen.
Der Verantwortliche muss ferner auch wissen, auf welcher Grundlage die Übermittlung in den Drittstaat erfolgen soll. Hier macht der EDSA konkretere Aussagen. Der Verantwortliche sollte folgende Informationen haben und prüfen:
- Angemessenheitsbeschluss: ob der Beschluss in Kraft ist und ob die Übermittlung in den Anwendungsbereich des Beschlusses fällt;
- Garantien: Wenn geeignete Garantien wie bspw. die Standardvertragsklauseln verwendet werden, sollte der Verantwortliche sicherstellen, dass ein Transfer Impact Assessment (TIA) durchgeführt wird:
In this case, the controller should assess the appropriate safeguards put in place and be attentive about any problematic legislation that could prevent the sub-processor from complying with the obligations established in its contract with the initial processor93. More specifically, the controller should ensure that such “a transfer impact assessment” is carried out, in line with the case-law95, and as explained in EDPB Recommendations 01/2020.
Der AB sollte entsprechend sein TIA offenlegen. Der Verantwortliche darf sich darauf grundsätzlich wieder verlassen:
The documentation relating to the appropriate safeguards put in place, the “transfer impact assessment” and the possible supplementary measures should be produced by the processor/exporter (where appropriate in collaboration with the processor/importer). The controller can rely on the assessment prepared by the (sub-)processor and if necessary build on it.
Entsprechend dürfte mindestens für die DSGVO die umstrittene Frage geklärt sein, ob der Verantwortliche das TIA herausverlangen kann.
Nationales Recht und Begriff der “Weisungen”
Der ADV darf bzw. soll den Fall adressieren, dass der AB seinem nationalen Recht unterliegt und entsprechend gezwungen sein kann, die Auftragsdaten ausserhalb der Weisungen des Verantwortlichen zu verarbeiten. In der Praxis stellt sich das Problem, dass Art. 28 DSGVO hier nur das Recht des EWR bzw. der Mitgliedstaaten vorbehält, aber nicht das Recht von Drittstaaten, weshalb ein deutscher Verantwortlicher dem schweizerischen AB theoretisch nicht erlauben darf, Daten gemäss abweichendem schweizerischem Recht zu verarbeiten.
In der Praxis wird in aller Regel gezwungenermassen das Recht des auch aussereuropäischen Staats des AB vorbehalten. Der EDSA stellt hierzu klar, dass diese Praxis zulässig ist:
In light of the analysis above, the EDPB takes the view that including, in a contract between the controller and the processor, the exception provided for in Article 28(3)(a) GDPR “unless required to do so by Union or Member State law to which the processor is subject” (either verbatim or in very similar terms) is highly recommended, but not strictly required in order to be in compliance with Article 28(3)(a) GDPR. This position is without prejudice to the need for a contractual obligation to inform the controller when the processor is legally required to process personal data other than upon the controller’s instructions […]
Er erinnert ferner daran, dass in einem solchen Fall ein Transfer oder ein Onward Transfer in einen Drittstaat erfolgt sein dürfte und hier die Anforderungen von Art. 44 ff. DSGVO zu beachten sind, was zu einer Prüfung des Rechts des Empfängers führt (im Rahmen der Angemessenheitsentscheidung oder eines TIA).
Der EDSA spricht eine weitere spannende Frage an: Wenn der Verantwortliche dem AB erlaubt, Daten abweichend zu verarbeiten, wenn rechtlich erforderlich – ist das eine Weisung des Verantwortlichen? In der Praxis ist zu beobachten, abweichende Verarbeitungen des Verantwortlichen als Weisung in den Vertrag aufzunehmen, ob diese Verarbeitung zu ermöglichen, was allerdings die Frage aufwirft, ob der Verantwortliche überhaupt solche Weisungen erteilen darf (bspw. bei Microsoft, wenn es um die eingeschränkte Verarbeitung zu eigenen Zwecken geht, die das DPA von Microsoft vorsieht).
Der EDSA ist hier der Meinung, dass eine solche Weisung
- ausreichend detailliert und
- jederzeit widerruflich sein
sein muss. Letzteres ist in der Praxis in solchen Fällen nicht gegeben, weshalb keine Weisung – jedenfalls keine datenschutzkonforme – vorliegt, in der Auffassung des EDSA.