Die Praxis der Auftragsverarbeitung, Teil 1: Warum individuelle AV-Verträge für Auftragsverarbeiter unverzichtbar sind

In dieser neuen Reihe erklären wir Ihnen typische Probleme und Lösungen zum Thema Auftragsverarbeitung aus unserer Beratungspraxis. Wir befassen uns dabei vor allem mit Konstellationen der Auftragsverarbeitung, die in der Praxis häufig unerkannt bleiben und deshalb nicht „sauber“ geregelt werden, obwohl das wichtig ist. In diesem ersten Teil geht es um das Über-/Unterordnungsverhältnis aus Sicht von Auftragsverarbeitern.

Das Über-/Unterordnungsverhältnis in der Auftragsverarbeitung

Viele unserer Mandanten sind Auftragsverarbeiter (kein Wunder, wir arbeiten ja auch vor allem für IT-Unternehmen). Die DSGVO verpflichtet sie daher zum Abschluss einer Vereinbarung über die Auftragsverarbeitung (auch Auftragsverarbeitungsvereinbarung; oder kurz: AVV).

Diese Pflicht gilt zum einen im Verhältnis zu den Kunden, also „nach oben“ (oder, wie es so schön neudeutsch heißt: im „Upstream“), zum anderen aber auch „nach unten“ zu den nachgelagerten (Unter-)Auftragsverarbeitern, also im „Downstream“.

Ein Einsatz von Unterauftragnehmern ist eher die Regel als die Ausnahme, da kaum ein Auftragsverarbeiter heute ohne Unterauftragnehmer auskommt: Nur noch selten hosten Anbieter eine Software auf eigenen Servern im eigenen Unternehmen. Vielmehr mieten sie regelmäßig Serverkapazitäten flexibel an oder betreiben die eigenen Server in Rechenzentren externer Unternehmen.

Zu diesen Unterauftragnehmern gehören wiederum oftmals die „Großen“, wie AWS (ein Amazon-Konzernunternehmen), Google oder Microsoft dazu.

Nun müssen Auftragsverarbeiter ihren Unterauftragnehmern die gleichen vertraglichen Pflichten auferlegen, denen sie selbst unterliegen (Art. 28 Abs. 4 Satz 1 DSGVO). Zwischen den in der AVV im Upstream, also der mit dem Kunden/Auftraggeber geschlossenen AVV, getroffenen Regelungen und den in der mit den Unterauftragnehmern geschlossenen AVV darf demnach kein Delta bestehen.

Der Gesetzgeber (oder besser: Verordnungsgeber) hat in der Auftragsverarbeitung ein klares Grundprinzip vor Augen: den Top-Down-Ansatz. Danach „diktiert“ quasi der Auftraggeber als datenschutzrechtlich Verantwortlicher von „oben“ die Regeln, nach denen die aus seinem Verantwortungsbereich stammenden Daten verarbeitet werden. Die Regeln sollen entlang der gesamten Vertragskette „von oben nach unten“ weitergereicht werden. Soweit die Theorie.

Das Problem in der Auftragsverarbeitung: Subunternehmer diktieren die Regelungen

Wenn man zur Auftragsverarbeitung weitere kleinere Unterauftragnehmer einsetzt, lässt sich der Top-Down-Ansatz häufig noch umsetzen. Speziell kleinere Unterauftragnehmer sind nach unserer Erfahrung relativ flexibel, was die Vereinbarung von kundenseitig gestellten AVV oder die Änderung des eigenen AVV-Musters angeht. Aber immer dann, wenn es sich bei den in der Vertragshierarchie ganz unten stehenden Unternehmen um „Big Player“ handelt, verkompliziert sich die Lage für den Kunden, der selbst Auftragsverarbeiter ist.

Denn diese Unternehmen zeigen sich häufig kompromisslos und beharren auf der unveränderten Verwendung des eigenen AVV-Musters. Das ist angesichts der enormen Zahl an Kunden aus Sicht des Vertrags- und Risikomanagements auch nachvollziehbar. Dass die Standard-AVV der „Big Player“ die strengen Anforderungen der meisten Upstream-AVVs nicht beinhalten, liegt in diesem Fall auf der Hand.

Der „in der Mitte“ stehende Auftragsverarbeiter hat daher in diesen Fällen gar nicht die Möglichkeit, die ihm selbst obliegenden Pflichten aus der AVV an seinen Unterauftragnehmer durchzureichen. Eine solche Konstellation wird von der DSGVO nicht geduldet, der (erste) Auftragsverarbeiter muss also reagieren und diese Situation ändern.

Die Handhabung in der Praxis der Auftragsverarbeitung

Selbst Auftragsverarbeiter, die sich Datenschutz-Compliance auf die Fahne schreiben und in ihrem Marketing betonen, setzen nach unserer Erfahrung häufig Unterauftragnehmer ein, bei denen man davon ausgegangen kann, dass kein Durchreichen der dem Auftragsverarbeiter in der AVV selbst auferlegten Pflichten stattgefunden hat.

Ein Beispiel aus der Praxis

Damit das Ganze etwas plastisch wird, ein Beispiel aus der Praxis:

Ziffer 11 der Standard-AVV des weltgrößten Anbieters von Serverkapazitäten, Amazon Web Services (AWS) (abrufbar unter: https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf), enthält folgende Regelung:

Customer agrees to exercise any right it may have to conduct an audit or inspection, including under the Standard Contractual Clauses if they apply, by instructing AWS to carry out the audit described in Section 10.

Der Verständlichkeit halber nun die deutsche Übersetzung der Klausel:

Der Kunde erklärt sich bereit, von seinem Recht auf Durchführung eines Audits oder einer Inspektion dergestalt Gebrauch zu machen, auch im Falle der Vereinbarung der Standardvertragsklauseln, falls diese anwendbar sind, indem er AWS mit der Durchführung des in Ziffer 10 beschriebenen Audits beauftragt.

Im Klartext heißt das, dass der Auftraggeber sein Recht zur Durchführung einer Inspektion bei seinem Auftragsverarbeiter an diesen selbst überträgt. Ob damit die Möglichkeit einer Inspektion gemeint ist, „[…] die“, so Art 28. Abs. 3 lit. h DSGVO zwingend, „vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt […]“ werden soll, darf nun jeder für sich selbst beantworten.

Aber welche Möglichkeiten hat nun der Auftragsverarbeiter in einer solchen Situation? Dem Auftragsverarbeiter stehen an sich nur wenige Möglichkeiten zur Verfügung, die wirklich DSGVO-konform sind:

1. Entweder der Auftragsverarbeiter bemüht sich, auch dem Unterauftragnehmer die ihm selbst obliegenden vertraglichen Pflichten zum Datenschutz aufzuerlegen, oder
2. der Auftragsverarbeiter wechselt den Unterauftragnehmer gegen einen aus, der eine höhe-re Verhandlungsbereitschaft an den Tag legt, oder
3. der Auftragsverarbeiter nutzt ein eigenes AVV-Muster, das an die Besonderheiten der AVV mit den eingesetzten Unterauftragnehmern angepasst ist. Hierbei wird die von der DSGVO vorgesehene Vereinbarungskette von unten nach oben „auf den Kopf gestellt“. Wir nennen das Ganze das Bottom-Up-Prinzip. Denn: Die AVVen im Upstream orientieren sich bei diesem Vorgehen an den Regelungen der Downstream-AVV.

Was wir in der Praxis jedoch mit Abstand am häufigsten antreffen ist, dass sich der Auftragsverarbeiter in der Upstream-AVV auf der einen Seite dazu verpflichtet, auch seinen Unterauftragnehmern die gleichen datenschutzrechtlichen Pflichten aufzuerlegen – womit er sich zumindest gegenüber seinem Auftraggeber dem Papier nach DSGVO-konform verhält. Auf der anderen Seite jedoch setzt der Auftragsverarbeiter weitere Unterauftragnehmer ein, denen er diese Klauseln gerade nicht auf-erlegt oder auferlegen kann.

Damit reagiert der Auftragsverarbeiter auf die Problem-Konstellation (s.o.) also im Grunde nicht, vielmehr ignoriert er das Problem. Die Gründe für diese Ignoranz sind vielfältig. Am häufigsten, so nehmen wir an, ist schlichte Unwissenheit um die Problematik in Kombination mit fehlender oder unzureichender datenschutzrechtlicher Beratung der Grund dafür, weshalb der Auftragsverarbeiter nicht angemessen reagiert. Liegt ein solches Delta aber vor, verletzt er gegenüber seinen Kunden datenschutzrechtliche Pflichten, er macht sich unter Umständen schadensersatzpflichtig und unter-liegt einem Bußgeldrisiko.

Wie gehen wir vor?

In der Praxis ist das Vorgehen nach dem Bottom-Up-Prinzip für den Auftragsverarbeiter regelmäßig die einfachste Variante, um die eigene AVV DSGVO-konform zu bekommen. Denn einfach andere Unterauftragnehmer einzusetzen, die sich ein wenig flexibler bei der Vereinbarung von AVVen zeigen, kommt meist nicht in Frage oder ist schlicht zu teuer; das Preismodell des Auftragsverarbeiters wäre ansonsten gefährdet. Voraussetzung für dieses Vorgehen ist aber, dass der Auftragsverarbeiter ein individuell angepasstes AVV-Muster verwendet. Nur wenn sich die Anpassungen der AVV auf eine möglichst große Anzahl von Kundenbeziehungen ausrollen lassen, lohnt sich der Aufwand für die Anpassung der AVV.

Sollten Sie als Auftragsverarbeiter noch nicht über eigene individuelle AVV-Muster verfügen, entwerfen wir Ihnen diese gerne. Auf dieser Grundlage nehmen wir dann die weiteren Anpassungen vor.

Unser konkretes Vorgehen für unsere Mandanten läuft bei einer Anpassung nach dem Bottom-Up-Prinzip typischerweise wie folgt ab:

Wir prüfen zunächst die mit den Unterauftragnehmern geschlossenen AVV und validieren das jeweilige Delta zwischen der Upstream-AVV und den Downstream-AVV(en). Daraus bilden wir dann eine Übersicht aller inkompatiblen Punkte in der Upstream-AVV. Diese Punkte ändern wir anschließend so ab, dass zwischen der Upstream-AVV und der Gesamtheit der Downstream-AVV(en) ein maximaler Gleichklang besteht. So ist gesichert, dass alle datenschutzrechtlichen Beziehungen miteinander harmonieren und der Auftragsverarbeiter datenschutzrechtlich sauber bleiben kann – auch wenn dieses Vorgehen vielleicht nicht dem Idealbild der DSGVO entsprechen mag.