Takea­ways (AI):
  • Der Ver­ant­wort­li­che muss die Ver­ant­wor­tung in mehr­glied­ri­gen Bear­bei­tungs­ket­ten aktiv wahr­neh­men und Unklar­hei­ten sind inakzeptabel.
  • EDSA for­dert umfas­sen­de Infor­ma­tio­nen über alle Auf­trags­be­ar­bei­ter und Unter-Auf­trags­be­ar­bei­ter für gesetz­li­che Pflichten.
  • Über­prü­fun­gen der Sicher­heits­ga­ran­tien sind für jede Stu­fe der Bear­bei­tungs­ket­te erfor­der­lich, beson­ders in Hochrisikofällen.
  • Bei inter­na­tio­na­len Daten­über­mitt­lun­gen bleibt der Ver­ant­wort­li­che haft­bar; Risi­ken müs­sen eva­lu­iert und geeig­ne­te Maß­nah­men getrof­fen werden.

Der Euro­päi­sche Daten­schutz­aus­schuss EDSA hat mit Datum vom 9. Okto­ber 2024 eine “Opi­ni­on 22/2024 on cer­tain obli­ga­ti­ons fol­lo­wing from the reli­ance on processor(s) and sub-processor(s)” ver­öf­fent­licht, also eine Stel­lung­nah­me zu bestimm­ten Pflich­ten der Ver­ant­wort­li­chen im Zusam­men­hang mit dem Bei­zug von Auf­trags­be­ar­bei­tern und ins­be­son­de­re auch Unter-Auftragsbearbeitern.

Die däni­sche Behö­re hat­te auf Basis von Art. 62 Abs. 2 DSGVO eine Rei­he kon­kre­ter Fra­gen gestellt, auf die die Opi­ni­on ant­wor­tet. Sie geht dabei – lei­der oder zum Glück, je nach­dem – nicht auf den Begriff des Auf­trags­be­ar­bei­ters ein.

Im Ergeb­nis ist der EDSA nicht in allen Punk­ten beson­ders streng. Gleich­zei­tig wird aber ein­mal mehr klar, dass

  • der Ver­ant­wort­li­che sei­ner Ver­ant­wor­tung auch durch eine mehr­glied­ri­ge Bear­bei­tungs­ket­te nicht ent­kommt, und dass
  • die Behör­den davon aus­ge­hen, dass die Ver­ant­wort­li­chen das Per­so­nal und Bud­get haben, um die­se Ver­ant­wor­tung bewusst, aktiv, lau­fend und ernst­haft wahr­zu­neh­men. Nicht in allen Details sind die Hin­wei­se des EDSA klar; Unklar­heit, wer wel­che Daten wo ver­ar­bei­tet, wür­den die Behör­den aber nicht hinnehmen.

Klar­heit über die Bearbeitungskette

Zunächst erin­nert der EDSA dar­an, dass der Ver­ant­wort­li­che über die gesam­te Ket­te bestimmt. Der EDSA begrün­det dies u.a. auch damit, dass der Ver­ant­wort­li­che im Rah­men der Infor­ma­ti­ons­pflicht die ein­zel­nen Emp­fän­ger nen­nen muss (der EuGH hat dies erst für das Aus­kunfts­recht bestä­tigt, wür­de es aber sicher auch für die Infor­ma­ti­ons­pflicht tun). Dar­aus ist im Kon­text der Opi­ni­on zu schlie­ssen, dass als ggf. anzu­ge­ben­de Emp­fän­ger nicht nur die erste Stu­fe gilt, son­dern auch jeder UAB anzu­ge­ben ist. Der Ver­ant­wort­li­che muss ent­spre­chend auch alle Unter-UAB ken­nen:

While this is not expli­cit in the­se pro­vi­si­ons, the Board con­siders that for the pur­po­se of Artic­le 28(1) and 28(2) GDPR, con­trol­lers should have the infor­ma­ti­on on the iden­ti­ty of all pro­ces­sors, subpro­ces­sors etc. rea­di­ly available at all times so that they can best ful­fil their obli­ga­ti­ons under the pro­vi­si­ons men­tio­ned above.

Für die Schweiz ist das aller­dings kaum über­trag­bar, schon weil unbe­strit­ten ist, dass die Anga­be von Kate­go­rien von Emp­fän­gern genügt. Dazu kommt, dass der Ver­ant­wort­li­che nach der DSGVO grund­sätz­lich eine Kau­sal­haf­tung für die Auf­trags­be­ar­bei­ter hat (EuGH, Deut­sche Woh­nen); auch dies ist für den EDSA ein Punkt, aber auch dies ist nicht übertragbar.

Eine Prä­zi­sie­rung fin­det sich sodann beim in der Pra­xis übli­che­ren Vor­ge­hen mit Veto­recht: Hier soll­te der AB dem Ver­ant­wort­li­chen pro­ak­tiv bestimm­te Infor­ma­tio­nen über neue UAB bereit­stel­len, der EDSA nennt Name und Gegen­stand der Bear­bei­tung. Das heisst aller­dings auch, dass der AB nicht nur neue UAB nen­nen muss, son­dern auch alle Unter-UAB durch die gesam­te Ket­te hin­durch, und jeder UAB muss für die nach­fol­gen­de­nen Ebe­nen das­sel­be tun. Jede Stu­fe muss ent­spre­chend die gesam­te nach­ge­la­ger­te Bear­bei­tungs­ket­te inventarisieren.

Es genügt aber, wenn die­se Infor­ma­tio­nen jeweils “easi­ly acce­s­si­ble” sind. Eine Mai­ling­li­ste, bei der sich der Ver­ant­wort­li­che (oder nach­fol­gend der AB, usw.) ein­tra­gen muss, soll­te also unpro­ble­ma­tisch sein.

Das ist auf die Schweiz schon des­halb nicht über­trag­bar, weil der Ver­ant­wort­li­che nach der DSGVO zumin­dest im Fall eines Aus­kunfts­be­geh­rens die ein­zel­nen Emp­fän­ger der Daten nen­nen muss.

Kon­trol­le über die Bearbeitungskette

Aus­ge­hend von Accoun­ta­bi­li­ty-Grund­satz (den der wei­se schwei­ze­ri­sche Gesetz­ge­ber nicht über­nom­men hat) ist der EDSA der Auf­fas­sung, der Ver­ant­wort­li­che müs­se die Sicher­heit der Daten – ver­stan­den als Daten­si­cher­heit, aber auch als Pri­va­cy by Design – durch die gesam­te Ket­te sicherstellen:

Artic­les 24(1) and 28(1) GDPR should be inter­pre­ted as requi­ring the con­trol­ler to ensure
that the pro­ce­s­sing chain only con­sists of pro­ces­sors, sub-pro­ces­sors, sub-sub-pro­ces­sors (etc.) that pro­vi­de ‘suf­fi­ci­ent gua­ran­tees to imple­ment appro­pria­te tech­ni­cal and orga­ni­sa­tio­nal mea­su­res’. In addi­ti­on the con­trol­ler should be able to pro­ve that it has taken all of the ele­ments pro­vi­ded in the GDPR into serious consideration.

Das betrifft zunächst die erste Stu­fe des AB, bei dem der Ver­ant­wort­li­che eine den Umstän­den ange­mes­se­ne Due Dili­gence (Ven­dor Assess­ment, Third-Par­ty Risk Assess­ment) durch­füh­ren muss. Wie er dabei vor­zu­ge­hen hat, ist offen:

For exam­p­le, the con­trol­ler may choo­se to draw a que­sti­on­n­aire as a means to gather infor­ma­ti­on from its pro­ces­sor to veri­fy the rele­vant gua­ran­tees, ask for the rele­vant docu­men­ta­ti­on, rely on publicly-available infor­ma­ti­on and/or cer­ti­fi­ca­ti­ons or audit reports from trust­wor­t­hy third par­ties and/or per­form on-site audits.

Grund­sätz­lich muss der Ver­ant­wort­li­che auch für die nach­ge­la­ger­ten Ebe­nen ent­spre­chen­de Über­le­gun­gen anstel­len (und doku­men­tie­ren!), aber auch hier sind die Risi­ken für die Betrof­fe­nen mass­ge­bend. Und er darf hier die Unter­stüt­zung des AB in Anspruch nehmen:

Such duty is faci­li­ta­ted by, on the one hand, the assi­stance and audit obli­ga­ti­ons impo­sed on the pro­ces­sors and, on the other hand, the infor­ma­ti­on pro­vi­ded by the initi­al pro­ces­sor to the con­trol­ler befo­re the enga­ge­ment of addi­tio­nal processors.

Das heisst dann kon­kret Folgendes:

  • Der Auf­trags­be­ar­bei­ter muss alle erfor­der­li­chen Infor­ma­tio­nen lie­fern, wobei der Ver­trag den ent­spre­chen­den Mecha­nis­mus bestim­men sollte:

    The con­trol­ler should be ful­ly infor­med as to the details of the pro­ce­s­sing that are
    rele­vant to demon­stra­te com­pli­ance with the obli­ga­ti­ons laid down in Artic­le 28 GDPR, and the pro­ces­sor should pro­vi­de all infor­ma­ti­on on how the pro­ce­s­sing acti­vi­ty is car­ri­ed out on behalf of the con­trol­ler. The con­tract should spe­ci­fy on how often and how this flow of infor­ma­ti­on should take place.

  • der Ver­ant­wort­li­che darf sich grund­sätz­lich auf die­se Anga­ben verlassen;
  • das­sel­be gilt für die fol­gen­den Ebe­nen der Ket­te; der AB hat daher den UAB zu prüfen.

Dies beant­wor­tet aller­dings nicht die Fra­ge, wel­che Rol­le der Ver­ant­wort­li­che bei den UAB ein­zu­neh­men hat. Der EDSA sagt dazu:

The ulti­ma­te decis­i­on on whe­ther to enga­ge a spe­ci­fic sub-(sub-)processor and the per­tai­ning respon­si­bi­li­ty, inclu­ding with respect to veri­fy­ing the suf­fi­ci­en­cy of the gua­ran­tees pro­vi­ded by the (sub-)processor, remains with the con­trol­ler. As alre­a­dy recal­led, in case of gene­ric or spe­ci­fic aut­ho­ri­sa­ti­on, it is always up to the con­trol­ler to deci­de whe­ther to appro­ve the enga­ge­ment of this sub-pro­ces­sor or whe­ther to object against it. […] 

This ent­ails that the con­trol­ler may choo­se to rely on the infor­ma­ti­on recei­ved from its pro­ces­sor and if neces­sa­ry build on it. For exam­p­le, in case whe­re the infor­ma­ti­on recei­ved by the con­trol­ler seems incom­ple­te, inac­cu­ra­te or rai­ses que­sti­ons, or whe­re appro­pria­te based on the cir­cum­stances of the case inclu­ding the risk asso­cia­ted with the pro­ce­s­sing, the con­trol­ler should ask for addi­tio­nal infor­ma­ti­on and/or veri­fy the infor­ma­ti­on and complete/correct it if necessary.

Dies lässt die ent­schei­den­de Fra­ge offen, ob der Ver­ant­wort­li­che auch den Bei­zug von Unter-UAB geneh­mi­gen muss. Wenn bspw. ein Ver­si­che­rer Micro­soft bei­zieht (AB) und Micro­soft bspw. Snow­fla­ke als UAB gemäss der ent­spre­chen­den Liste von Micro­soft, so ist dies kaum das Ende der Ket­te. Muss Micro­soft den Kun­den also auch infor­mie­ren, wenn Snow­fla­ke einen neu­en Pro­vi­der beizieht?

Es ist kaum ein Zufall, dass der EDSA die­se Fra­ge nicht expli­zit anspricht. Immer­hin deu­tet ein fol­gen­der Hin­weis dar­auf hin, dass der Ver­ant­wort­li­che im Nor­mal­fall nicht so weit gehen muss, son­dern nur in Hoch­ri­si­ko­fäl­len (denn erst hier bezieht sich der EDSA nicht nur auf UAB, die der Ver­ant­wort­li­che geneh­mi­gen muss, son­dern aus­drück­lich auf die gesam­te Kette):

More spe­ci­fi­cal­ly, for pro­ce­s­sing pre­sen­ting a high risk to the rights and free­doms of data sub­jects, the con­trol­ler should increa­se its level of veri­fi­ca­ti­on in terms of checking the infor­ma­ti­on pro­vi­ded regar­ding the gua­ran­tees pre­sen­ted by the dif­fe­rent pro­ces­sors in the pro­ce­s­sing chain.

Der Ver­ant­wort­li­che hat fer­ner das Recht, den ADV zwi­schen dem AB und dem UAB ein­zu­se­hen, und gemäss EDSA kann er auch die Ver­trä­ge in der wei­te­ren Ket­te ver­lan­gen. Er muss das aber nicht zwin­gend tun:

This said, the con­trol­ler does not have a duty to syste­ma­ti­cal­ly ask for the sub-pro­ce­s­sing con­tracts to check whe­ther the data pro­tec­tion obli­ga­ti­ons pro­vi­ded for in the initi­al con­tract have been pas­sed down the pro­ce­s­sing chain. The con­trol­ler should assess, on a case-by-case basis, whe­ther reque­st­ing a copy of such con­tracts or revie­w­ing them at any time is neces­sa­ry for it to be able to demon­stra­te com­pli­ance in light of the prin­ci­ple of accoun­ta­bi­li­ty. In the con­text of exer­cis­ing its right of audit under 28(3)(h), the con­trol­ler should have a pro­cess in place to under­ta­ke audit cam­paigns in order to check by sam­pling veri­fi­ca­ti­ons that the con­tracts with its sub-pro­ces­sors con­tain the neces­sa­ry data pro­tec­tion obligations.

Über­mitt­lung ins Ausland

Auch hier beginnt der EDSA mit der Ver­ant­wor­tung des Ver­ant­wort­li­chen – im Fall eines uner­laub­ten Onward Trans­fer durch einen AB oder UAB bleibt er ver­ant­wort­lich, und er kann dadurch gegen Art. 44 DSGVO verstossen:

For exam­p­le, both the con­trol­ler and the pro­ces­sor remain, in prin­ci­ple, respon­si­ble under Chap­ter V GDPR for an unlawful initi­al or onward trans­fer and the­r­e­fo­re could be both and indi­vi­du­al­ly be held lia­ble in the event of an infringement.

Es gilt aber das­sel­be wie oben: Wie der Ver­ant­wort­li­che sei­ne Ver­ant­wor­tung wahr­nimmt, ist damit noch nicht gesagt. Inso­fern ändert das The­ma der Aus­lands­über­mitt­lung nichts; der Ver­ant­wort­li­che muss risi­ko­ba­siert geeig­ne­te Prü­fun­gen durch­füh­ren und Mass­nah­men gegen Ver­let­zun­gen tref­fen. Er muss sich bei der Geneh­mi­gung eines UAB des­halb auch infor­mie­ren las­sen, wel­che Daten dadurch ggf. in einen Dritt­staat gelan­gen (“Map­ping”), und wenn er Zwei­fel an der Qua­li­tät der Infor­ma­tio­nen hat, muss er nachfragen.

Der Ver­ant­wort­li­che muss fer­ner auch wis­sen, auf wel­cher Grund­la­ge die Über­mitt­lung in den Dritt­staat erfol­gen soll. Hier macht der EDSA kon­kre­te­re Aus­sa­gen. Der Ver­ant­wort­li­che soll­te fol­gen­de Infor­ma­tio­nen haben und prüfen:

  • Ange­mes­sen­heits­be­schluss: ob der Beschluss in Kraft ist und ob die Über­mitt­lung in den Anwen­dungs­be­reich des Beschlus­ses fällt;
  • Garan­tien: Wenn geeig­ne­te Garan­tien wie bspw. die Stan­dard­ver­trags­klau­seln ver­wen­det wer­den, soll­te der Ver­ant­wort­li­che sicher­stel­len, dass ein Trans­fer Impact Assess­ment (TIA) durch­ge­führt wird:

    In this case, the con­trol­ler should assess the appro­pria­te safe­guards put in place and be atten­ti­ve about any pro­ble­ma­tic legis­la­ti­on that could pre­vent the sub-pro­ces­sor from com­ply­ing with the obli­ga­ti­ons estab­lished in its con­tract with the initi­al processor93. More spe­ci­fi­cal­ly, the con­trol­ler should ensu­re that such “a trans­fer impact assess­ment” is car­ri­ed out, in line with the case-law95, and as explai­ned in EDPB Recom­men­da­ti­ons 01/2020.

    Der AB soll­te ent­spre­chend sein TIA offen­le­gen. Der Ver­ant­wort­li­che darf sich dar­auf grund­sätz­lich wie­der verlassen:

    The docu­men­ta­ti­on rela­ting to the appro­pria­te safe­guards put in place, the “trans­fer impact assess­ment” and the pos­si­ble sup­ple­men­ta­ry mea­su­res should be pro­du­ced by the pro­ces­sor/exporter (whe­re appro­pria­te in col­la­bo­ra­ti­on with the processor/importer). The con­trol­ler can rely on the assess­ment pre­pared by the (sub-)processor and if neces­sa­ry build on it.

    Ent­spre­chend dürf­te min­de­stens für die DSGVO die umstrit­te­ne Fra­ge geklärt sein, ob der Ver­ant­wort­li­che das TIA her­aus­ver­lan­gen kann.

Natio­na­les Recht und Begriff der “Wei­sun­gen”

Der ADV darf bzw. soll den Fall adres­sie­ren, dass der AB sei­nem natio­na­len Recht unter­liegt und ent­spre­chend gezwun­gen sein kann, die Auf­trags­da­ten ausser­halb der Wei­sun­gen des Ver­ant­wort­li­chen zu ver­ar­bei­ten. In der Pra­xis stellt sich das Pro­blem, dass Art. 28 DSGVO hier nur das Recht des EWR bzw. der Mit­glied­staa­ten vor­be­hält, aber nicht das Recht von Dritt­staa­ten, wes­halb ein deut­scher Ver­ant­wort­li­cher dem schwei­ze­ri­schen AB theo­re­tisch nicht erlau­ben darf, Daten gemäss abwei­chen­dem schwei­ze­ri­schem Recht zu verarbeiten.

In der Pra­xis wird in aller Regel gezwun­ge­ner­ma­ssen das Recht des auch ausser­eu­ro­päi­schen Staats des AB vor­be­hal­ten. Der EDSA stellt hier­zu klar, dass die­se Pra­xis zuläs­sig ist:

In light of the ana­ly­sis abo­ve, the EDPB takes the view that inclu­ding, in a con­tract bet­ween the con­trol­ler and the pro­ces­sor, the excep­ti­on pro­vi­ded for in Artic­le 28(3)(a) GDPR “unless requi­red to do so by Uni­on or Mem­ber Sta­te law to which the pro­ces­sor is sub­ject” (eit­her ver­ba­tim or in very simi­lar terms) is high­ly recom­men­ded, but not strict­ly requi­red in order to be in com­pli­ance with Artic­le 28(3)(a) GDPR. This posi­ti­on is wit­hout pre­ju­di­ce to the need for a con­trac­tu­al obli­ga­ti­on to inform the con­trol­ler when the pro­ces­sor is legal­ly requi­red to pro­cess per­so­nal data other than upon the controller’s instructions […]

Er erin­nert fer­ner dar­an, dass in einem sol­chen Fall ein Trans­fer oder ein Onward Trans­fer in einen Dritt­staat erfolgt sein dürf­te und hier die Anfor­de­run­gen von Art. 44 ff. DSGVO zu beach­ten sind, was zu einer Prü­fung des Rechts des Emp­fän­gers führt (im Rah­men der Ange­mes­sen­heits­ent­schei­dung oder eines TIA).

Der EDSA spricht eine wei­te­re span­nen­de Fra­ge an: Wenn der Ver­ant­wort­li­che dem AB erlaubt, Daten abwei­chend zu ver­ar­bei­ten, wenn recht­lich erfor­der­lich – ist das eine Wei­sung des Ver­ant­wort­li­chen? In der Pra­xis ist zu beob­ach­ten, abwei­chen­de Ver­ar­bei­tun­gen des Ver­ant­wort­li­chen als Wei­sung in den Ver­trag auf­zu­neh­men, ob die­se Ver­ar­bei­tung zu ermög­li­chen, was aller­dings die Fra­ge auf­wirft, ob der Ver­ant­wort­li­che über­haupt sol­che Wei­sun­gen ertei­len darf (bspw. bei Micro­soft, wenn es um die ein­ge­schränk­te Ver­ar­bei­tung zu eige­nen Zwecken geht, die das DPA von Micro­soft vorsieht).

Der EDSA ist hier der Mei­nung, dass eine sol­che Weisung

  • aus­rei­chend detail­liert und
  • jeder­zeit wider­ruf­lich sein

sein muss. Letz­te­res ist in der Pra­xis in sol­chen Fäl­len nicht gege­ben, wes­halb kei­ne Wei­sung – jeden­falls kei­ne daten­schutz­kon­for­me – vor­liegt, in der Auf­fas­sung des EDSA.

AI-generierte Takeaways können falsch sein.