Aufsatz : Der Subauftragnehmer im Rahmen der Auftragsdatenverarbeitung – Weisungs- und Kontrollrechte in einer Auftragskette : aus der RDV 1/2014, Seite 19 bis 26
Auftragsdatenverarbeitung ist als Kooperationsform zweier datenverarbeitender Unternehmen weit verbreitet. Sie ist die einzige Möglichkeit für zwei Unternehmen, Daten auszutauschen, ohne dass es einer Rechtsgrundlage in einer Rechtsvorschrift oder einer Einwilligung bedarf. Dies sieht das Bundesdatenschutzgesetz (BDSG) nicht ohne Grund vor. Vielmehr sind Datenflüsse in einem Verhältnis der Auftragsdatenverarbeitung privilegiert, weil die Kooperationspartner rechtlich durch die Vorschriften des BDSG und durch einen Auftragsdatenverarbeitungsvertrag so eng aneinander gebunden sind, dass sich das Risiko für das informationelle Selbstbestimmungsrecht der Betroffenen nicht erhöht. Nicht zuletzt aufgrund der Weisungs- und Kontrollbefugnisse des Auftraggebers wird der Auftragnehmer wie eine interne Abteilung der verantwortlichen Stelle und damit nicht als Dritter i.S.v. § 3 Abs. 8 Satz 2 BDSG, behandelt. Doch was gilt, wenn der Auftragnehmer seinerseits die Datenverarbeitung an einen Subauftragnehmer vergibt und wenn dieser Subauftragnehmer wiederum einen Subauftragnehmer oder lediglich ein Wartungsdienstleistungsunternehmen [1] beauftragt? In diesen Fällen stellen sich zahlreiche Fragen bzgl. der Weisungs- und Kontrollbefugnisse sowie der Vertragsgestaltung, die Gegenstand dieses Beitrages sind.
I. Grundsätze der Auftragsdatenverarbeitung
Jede natürliche oder juristische Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt, ist eine verantwortliche Stelle (§ 3 Abs. 7 BDSG) und damit Adressat des BDSG. Daran ändert sich nichts, wenn personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt werden; in diesem Fall bleibt die Stelle als Auftraggeber für die Einhaltung der Vorschriften des BDSG und anderer Vorschriften über den Datenschutz verantwortlich (§ 11 Abs. 1 Satz 1 BDSG). Mit den vorgenannten Vorschriften hat der Gesetzgeber zwei Rollen geschaffen, in denen personenbezogene Daten erhoben, verarbeitet oder genutzt werden können. Auf der einen Seite steht die verantwortliche Stelle, die selbst Daten erhebt, verarbeitet oder nutzt. Ihr gegenüber steht ein Auftragnehmer, durch den die verantwortliche Stelle Daten erheben, verarbeiten und nutzen kann. Die verantwortliche Stelle ist in der zuletzt genannten Konstellation Auftraggeber. Neben der Zusammenarbeit in Form einer Auftragsdatenverarbeitung können Unternehmen auch im Wege einer Funktionsübertragung zusammenarbeiten. Die Funktionsübertragung unterscheidet sich von der Auftragsdatenverarbeitung dadurch, dass sich die Tätigkeit des beauftragten Unternehmens nicht in der weisungsgebundenen Hilf- bzw. Unterstützungsleistung erschöpft, sondern dem Unternehmen auch die der Datenverarbeitung zugrundeliegende Funktion übertragen wird und es die personenbezogenen Daten mit eigenständigen Gestaltungs- und Entscheidungsspielräumen verarbeitet. Bei einer Funktionsübertragung zwischen zwei verantwortlichen Stellen stellt jede Übersendung personenbezogener Daten von der einen verantwortlichen Stelle zur anderen verantwortlichen Stelle eine Übermittlung personenbezogener Daten dar(§§ 3 Abs. 4 Satz 2 Nr. 3, 3 Abs. 8 Satz 1 BDSG). Jede Übermittlung ist eine Verarbeitung und ist deshalb nur zulässig, soweit der Betroffene eingewilligt hat oder eine Rechtsvorschrift dies erlaubt oder anordnet (§ 4 Abs. 1 BDSG).
Hingegen verarbeitet eine Stelle, die die Daten lediglich im Rahmen eines Auftrags nach § 11 BDSG verarbeitet, die Daten nicht für eigene Zwecke, sondern für Zwecke des Auftraggebers. Der Auftragnehmer ist in Bezug auf die Erhebung, Verarbeitung und Nutzung personenbezogener Daten weisungsgebunden (§ 11 Abs. 3 BDSG). Er hat keine eigenen Entscheidungs- und Gestaltungsspielräume. Bildlich gesprochen wird er nur als „verlängerter Arm“ tätig. Der Datenfluss zwischen Auftraggeber und Auftragnehmer stellt keine Übermittlung dar. Dies folgt daraus, dass Übermittlung das Bekanntgeben personenbezogener Daten an einen Dritten ist (§ 3 Abs. 4 Satz 2 Nr. 3 BDSG) und Dritter nicht eine Person oder Stelle ist, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erhebt, verarbeitet oder nutzt. Wer also im Rahmen einer Auftragsdatenverarbeitung Auftragnehmer ist, ist nicht Dritter, und ohne einen Dritten findet keine Übermittlung statt, die als Verarbeitung einer Rechtsgrundlage oder einer Einwilligung bedürfte. Der Datenfluss zwischen Auftraggeber und Auftragnehmer ist somit datenschutzrechtlich an sich ein Nullum. Der Gesetzgeber behandelt den Auftragnehmer insoweit als Teil der verantwortlichen Stelle. Diese enge Bindung wird durch einen Vertrag über die Auftragsdatenverarbeitung, dessen Inhalt in § 11 Abs. 2 BDSG vorgegeben ist, hergestellt. Während bei der Funktionsübertragung ein Datenschutzniveau bei der zweiten verantwortlichen Stelle dadurch hergestellt wird, dass diese selbst in vollem Umfang in den Anwendungsbereich der Vorschriften des BDSG als verantwortliche Stelle fällt, wird das Datenschutzniveau im Falle der Auftragsdatenverarbeitung dadurch gewährleistet, dass die weiterhin verantwortliche Stelle durch den Auftragsdatenverarbeitungsvertrag die lenkende und kontrollierende Rolle behält. So erklärt es sich, dass sie als Auftraggeber nach § 11 Abs. 1 Satz 1 BDSG weiterhin nach dem BDSG und anderen Vorschriften für den Datenschutz verantwortlich bleibt und dem Auftragnehmer durch das BDSG nur eingeschränkt Pflichten, insbesondere solche in Bezug auf die Datensicherheit, übertragen werden (§ 11 Abs. 4 BDSG). Nach § 11 Abs. 2 BDSG sind neben der Art und Weise der Datenverarbeitung und den technischen und organisatorischen Maßnahmen zur Datensicherheit insbesondere Regelungen zu den Weisungsbefugnissen des Auftraggebers und den Kontrollrechten des Auftragnehmers zu vereinbaren. Außerdem soll die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen geregelt werden (§ 11 Abs. 2 Satz 2 Nr. 6 BDSG). Die Vorschriften über die Auftragsdatenverarbeitung in § 11 Abs. 1 bis 4 BDSG gelten nach Abs. 5 entsprechend, wenn die Prüfung oder Wartung automatisierter Verfahren oder von Datenverarbeitungsanlagen durch andere Stellen im Auftrag vorgenommen wird und dabei ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann. Auch für diese Fälle soll somit die Stelle, die die Prüfung oder Wartung in Auftrag gibt, mit dem Dienstleistungsunternehmen einen Vertrag zur Auftragsdatenverarbeitung schließen und sich Weisungs- und Kontrollrechten des Auftraggebers unterwerfen.
II. Fallkonstellationen
Der Gesetzgeber hat in § 11 Abs. 2 Satz 2 Nr. 6 BDSG ausdrücklich die Möglichkeit vorgesehen, dass der Auftragnehmer berechtigt wird, Unterauftragsverhältnisse zu begründen. In der Praxis wird von dieser Möglichkeit sehr häufig Gebrauch gemacht. Dabei sind sich die Parteien in vielen Fällen nicht der Tatsache bewusst, dass ihre Vereinbarung über Auftragsdatenverarbeitung Teil einer längeren Kette von Auftragsverhältnissen sein kann. Typisch ist z.B. der Fall, dass eine Gesellschaft in einem Konzern (A) eine andere Konzerngesellschaft (B) damit beauftragt, nach konkreten Vorgaben Gehaltsabrechnungen zu erstellen, und die beauftragte Gesellschaft (B) ihrerseits eine Datenverarbeitungsdienstleistung bei einem externen Dienstleister (C) in Anspruch nimmt. Dabei kann es sich z.B. lediglich um eine Datenspeicherung handeln. Dieser externe Dienstleister (C) könnte seinerseits wiederum einen eigenen Wartungsdienstleister für seine IT-Systeme beauftragt haben. Interessant ist bei Auftragsdatenverarbeitungsketten, dass es meist unterschiedliche Sachverhaltsvarianten in Bezug auf die zeitliche Abfolge der einzelnen Auftragsdatenverarbeitungsverträge gibt. Der Vertrag zwischen A und B muss dem Vertrag zwischen B und C somit nicht zeitlich vorangehen. So kann ein Gehaltsabrechnungsdienstleister längst Subauftragnehmer oder Wartungsdienstleister beauftragt haben, bevor er selbst einen Auftrag erhält und mit einem Auftraggeber einen Auftragsdatenverarbeitungsvertrag schließt, den er dann im Rahmen seiner bestehenden Subauftragsdatenverarbeitungsverhältnisse und mit Unterstützung im Rahmen eines bestehenden Wartungsvertrages erledigen lässt. Eine Auftragskette kann somit in beide Richtungen wachsen. Besteht eine Kette von Auftragsdatenverarbeitungsverträgen, ist das vertragliche Verhältnis zwischen dem Auftraggeber und dem Auftragnehmer gesetzlich geregelt und im Wesentlichen geklärt. Wenig beachtet ist die Frage, welche konkreten Weisungs- und Kontrollrechte zwischen einem Auftraggeber und einem Subauftragnehmer bestehen. Das folgende Schaubild zeigt die potentiell sich aus den Vertragsverhältnissen ergebenden Weisungs- und Kontrollrechte.
III. Das Verhältnis zwischen Auftraggeber A und Auftragnehmer
B Hier handelt es sich um das Standardverhältnis einer Auftragsdatenverarbeitungsvereinbarung. A und B schließen einen Vertrag nach § 11 Abs. 2 BDSG. Nach § 11 Abs. 3 BDSG darf der Auftragnehmer die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Dies sichert der Auftragsdatenverarbeitungsvertrag ab, welcher außerdem Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungsrechte des Auftragnehmers regeln muss.
IV. Das Verhältnis des Subunternehmers C zu dem Auftraggeber A und dem Auftragnehmer B – Wer übernimmt die Rolle des Auftraggebers gegenüber C?
C als Unterauftragnehmer schließt nach der gesetzlichen Konzeption einen Auftragsdatenverarbeitungsvertrag mit dem (unter)auftraggebenden Auftragnehmer B. In § 11 Abs. 2 Satz 2 Nr. 6 BDSG ist die Berechtigung zur Begründung von Unterauftragsverhältnissen ausdrücklich geregelt. Da der Auftraggeber ohnehin stets als verantwortliche Stelle Verträge mit (Sub)Auftragnehmern schließen kann, muss hier das eigene Recht des Auftragnehmers (B) zur Beauftragung eines Subauftragnehmers (C) gemeint sein.
Sofern der Vertrag zwischen Auftraggeber A und Auftragnehmer B dies vorsieht, hat somit B die Berechtigung zur Begründung von Unterauftragsverhältnissen.
Das Gesetz sieht keine vertragliche Beziehung zwischen dem Subauftragnehmer C und dem Auftraggeber A vor.[2] Bedeutet dies aber, dass C tatsächlich in keiner rechtlichen Beziehung zu A steht, obwohl A die verantwortliche Stelle ist?
Bedeutet dies aber, dass C tatsächlich in keiner rechtlichen Beziehung zu A steht, obwohl A die verantwortliche Stelle ist?
1. Hypothesen
Als Antwort auf die Frage, wer in dieser 3-Parteien-Konstellation die Rolle und die Pflichten des Auftraggebers übernimmt, bieten sich 3 Denkmodelle an.
a. Modell 1 („Durchgriffsmodell“)
Die Auftragsdatenverarbeitung geht von dem Grundgedanken aus, dass der Auftraggeber als verantwortliche Stelle die Zügel nicht aus der Hand gibt. Dies ist der Grund der Privilegierung der Datenflüsse zwischen Auftraggeber und Auftragnehmer. Dem könnte ein Denkmodell entsprechen, in dem für den Fall des Einsatzes eines Subauftragnehmers dieser zwingend in ein unmittelbares Verhältnis zum Auftraggeber treten müsste und Weisungs- und Kontrollrechte ausschließlich vom Auftraggeber als verantwortlicher Stelle ausgeübt werden. Der Auftraggeber A würde gewissermaßen durch den Auftragnehmer „durchgreifen“ und allein auch gegenüber dem Subauftragnehmer die verantwortlicher Stelle sein. Anderenfalls müsste schließlich der Auftragnehmer eine Führungsaufgabe übernehmen, die jedenfalls auf den ersten Blick seiner Rolle als verlängerter Arm nicht entspricht. Dies würde bedeuten, dass ein Auftragnehmer (B), der einen Subauftragnehmer (C) beauftragt, nicht mit dem Subauftragnehmer (C) vereinbart, dass dieser an die Weisungen des Auftragnehmers (B) gebunden ist und dessen Kontrollen dulden muss, sondern C nach Gesetz und Vertrag ausschließlich von dem Auftraggeber A geführt und kontrolliert wird.
b. Modell 2 („Das Stufenmodell“ oder „MatrjoschkaModell“)
Die Rolle des Auftraggebers könnte in Bezug auf den Subauftragnehmer C dem Auftragnehmer B zukommen. Er wäre dann gewissermaßen Subauftraggeber für den Auftraggeber A, und A wäre aus Sicht des C „Supra- oder Überauftraggeber“ über dem Auftraggeber B. Dafür, dies anzunehmen, spricht, dass es der Auftragnehmer (B) ist, der ein Vertragsverhältnis zum Subauftragnehmer (C) eingeht, C aber keine vertraglichen Pflichten gegenüber dem Auftraggeber A hat. Nach diesem Modell würde der Auftragnehmer B im Rahmen seiner Auftragnehmerverantwortung Auftraggeber des Subauftragnehmers C sein. Eine unmittelbare Rechtsbeziehung zwischen dem Subauftragnehmer C und dem Auftraggeber A bestünde nicht. In einer Kette von Auftragsdatenverarbeitungen würden Weisungs- und Kontrollrechte immer nur im Verhältnis der an dem Vertrag beteiligten Stellen bestehen. Weisungen und Kontrollen würden „in Stufen“ erteilt bzw. durchgeführt. Da Gegenstand eines Subauftrags nur sein kann, was Gegenstand des Auftrags war, könnte man eine Kette von Subauftragsverhältnissen bildlich auch mit den kleiner werdenden Puppen einer Matrjoschka[3] vergleichen.
c. Modell 3 („Mehr-Auftraggeber-Modell“)
Das Durchgriffsmodell und das Stufenmodell lassen sich schließlich kombinieren zu einem Modell, in dem der Subauftragnehmer (C) sowohl auf Basis des Subauftragnehmer-Auftragsdatenverarbeitungs-Vertrages den Weisungen des Auftragnehmers B unterworfen ist, als auch ausdrücklich den Weisungen des Auftraggebers A unterworfen werden muss.[4] Der Subauftragnehmer C wäre dann verpflichtet, sowohl den Weisungen des Auftragnehmers B Folge zu leisten, als auch den Weisungen des Auftraggebers A. Er müsste gewissermaßen „zwei Herren dienen“, wobei deren Weisungen faktisch nicht auseinanderfallen können, weil der Auftragnehmer B schließlich den Subauftragnehmer C nur so anweisen könnte, wie er selbst von dem Auftraggeber A angewiesen wurde.
Verlängert sich die Kette, würde sich die Zahl derer, die Weisungen erteilen und kontrollieren können, erhöhen. In Schaubild 1 würden sämtliche eingezeichneten Pfeile als Weisungs- und Kontrollbeziehung in Betracht kommen.
2. Stellungnahme
a. Das „Durchgriffsmodell“ geht davon aus, dass es ausschließliche Aufgabe des Auftraggeber A ist, den Subauftragnehmer zu führen und zu überwachen. Ein solches, ausschließlich auf die Rolle des Auftraggebers zugeschnittenes Subauftragnehmermodell entspricht nicht dem im BDSG vorgesehenen Konzept, nach dem der Auftragnehmer seinerseits ein Unterauftragsverhältnis begründen kann. Hätte der Gesetzgeber nicht zumindest auch gewollt, dass der Auftragnehmer im Verhältnis zum Subauftragnehmer Weisungs- und Kontrollrechte für sich vereinbart, so hätte er keine vertragliche Beziehung zwischen Auftragnehmer und Subauftragnehmer vorgesehen. Wenn der Auftragnehmer B in einer solchen Konstellation nicht eine eigenständige Funktion in Bezug auf die Auftragsdatenverarbeitung behielte, so käme die Unterbevollmächtigung in Bezug auf den Auftrag eher einem vollständigen oder anteiligen Wechsel des Auftragnehmers gleich als der Gestaltung eines Unterauftragsverhältnisses. Insofern wird im Verhältnis zwischen B und C in jedem Fall ein Weisungs- und Kontrollrecht des B gegenüber C zu gestalten sein.
Das Durchgriffsmodell wäre in der Praxis zudem mit besonderen Herausforderungen für die Vertragsgestaltung verbunden. Es würde voraussetzen, dass die jeweilige auftraggebende Partei im Subauftragsdatenverarbeitungsvertrag ausschließlich Rechte der übergeordneten Partei vereinbart (Vertrag zugunsten Dritter). Da in Auftragsketten der erste Auftraggeber wechseln kann, müssten Subauftragnehmerverträge ggf. umgestaltet werden oder intransparent Weisungsund Kontrollrechte unbekannter Dritter regeln.[5]
b. Im „Stufenmodell“ kommt die Rolle des Auftraggebers in Bezug auf den Subauftragnehmer C dem Auftragnehmer B zu. Dafür, dies anzunehmen, spricht, dass es der Auftragnehmer (B) ist, der ein Vertragsverhältnis zum Subauftragnehmer (C) eingeht und diesen beauftragt.
§ 11 Abs. 1 BDSG regelt, dass im Falle der Auftragsdatenverarbeitung der Auftraggeber (A) für die Einhaltung der Datenschutzvorschriften verantwortlich bleibt. Deshalb mag es auf den ersten Blick irritieren, dass ein Auftragnehmer (B), der nach der Grundkonzeption der Auftragsdatenverarbeitung nur ein „verlängerter Arm“ des Auftraggebers (A) ist und deshalb per definitionem keine Gestaltungs- und Entscheidungsspielräume hat, gegenüber dem Subauftragnehmer (C) die Rolle eines Auftraggebers – also die der „verantwortlichen Stelle“ – einnehmen kann. Der Auftragnehmer, der einen Subauftragnehmer beauftragt, vereinigt im Stufenmodell beide Rollen in einer Person bzw. Stelle. Aus seiner Rolle als Auftragnehmer heraus beauftragt er (und nicht sein Auftraggeber) den Subauftragnehmer. Eine solche „dritte Rolle“ ist neben Auftraggeber und Auftragnehmer im Gesetz – insbesondere in § 11 Abs. 1 BDSG – zwar nicht ausdrücklich benannt, sie wird jedoch vorausgesetzt, wenn § 11 Abs. 2 Satz 2 Nr. 6 BDSG von einer Berechtigung des Auftragnehmers zur Begründung von Unterauftragsverhältnissen spricht.
Der Anschein einer Unvereinbarkeit des Stufenmodells mit der in § 11 Abs. 1 BDSG vorgesehenen Rolle des Auftraggebers als verantwortlicher Stelle löst sich jedoch auf, wenn man bedenkt, dass der Auftragnehmer nach dem Stufenmodell im Verhältnis zum Subauftragnehmer die Auftraggeberrolle ausschließlich im Rahmen seiner Auftragnehmerverantwortlichkeit übernimmt.
Im Stufenmodell gibt es eine lückenlose Verantwortung für die Daten. Entsprechend dem Schaubild 2 handelt es sich nämlich um ineinander verschachtelte Auftragsdatenverarbeitungsverhältnisse, die jeweils exakt dem gesetzlichen Muster folgen.
Geht man mit dem Stufenmodell davon aus, dass der Auftragnehmer B im Verhältnis zum Subauftragnehmer C die Auftraggeberrolle (anstelle des Auftraggebers A) übernähme, sofern dies seine Auftragnehmerrolle zulässt, hieße dies, dass ein Weisungsrecht und ein Kontrollrecht in Stufen erfolgt.
A hätte dann kein unmittelbares eigenes Weisungsrecht gegenüber C oder gar D. Er hätte aber ein mittelbares Weisungsrecht. A kann B anweisen, der dann wiederum C anweisen kann. Obwohl B in dieser Konstellation gegenüber C weisungsberechtigt ist, hätte B keinen eigenen Gestaltungs- und Entscheidungsspielraum, denn er wäre durch die Weisung von A verpflichtet, C in exakt der gleichen Weise anzuweisen, wie er angewiesen wurde. Auch wenn demnach das Weisungsrecht in Stufen ausgeübt würde, hätte A nach wie vor die faktische Alleinentscheidungsmacht in Bezug auf den Umgang mit den Daten. Dem Auftragnehmer im Verhältnis zum jeweiligen Subauftragnehmer ein Weisungsrecht zuzubilligen, widerspricht also seiner eigenen Auftragnehmerrolle im Verhältnis zum A im Ergebnis nicht, weil er schon anfänglich in seiner Auftragnehmerverantwortlichkeit keine Entscheidungsspielräume in Bezug auf die Erhebung, Verarbeitung und Nutzung der Daten hat. Er kann deshalb nur Weisungen im Rahmen der selbst erhaltenen Weisungen erteilen. Das Ermessen des B ist auf Null reduziert. Somit scheidet ein Auseinanderfallen der Weisungen des Auftragnehmers im Verhältnis zum Subauftragnehmer und der Weisungen des Auftraggebers im Verhältnis zum Auftragnehmer aus.
Auf der Ebene der Kontrollrechte gilt das Gleiche. Ein eigenständiges Kontrollrecht des A gegenüber dem C müsste im Subauftragnehmervertrag nicht vereinbart werden, um eine lückenlose Kontrolle zu gestalten. Das Kontrollrecht kann gleichermaßen in Stufen ausgeübt werden. Der Auftraggeber behält stets ein Kontrollrecht bezüglich des Auftragnehmers. Dieser ist im Rahmen des Auftragsdatenverarbeitungsvertrages dazu verpflichtet, die Kontrollen des Auftraggebers zu dulden. Sieht man ihn (B) gegenüber dem Subauftragnehmer C in der Rolle eines Auftraggebers im Rahmen der Auftragnehmerverantwortlichkeit, so muss er sich in Bezug auf seine Kontrolltätigkeit von A kontrollieren lassen. Damit ist B seinerseits verpflichtet, sämtliche Dokumentationen, die sein Subauftragnehmer C ihm (B) im Rahmen des Subauftragnehmervertrages schuldet, dem Auftraggeber A vorzulegen, und er (B) kann auch in Bezug auf seine Kontrolltätigkeit gegenüber C von A an gewiesen werden. Vereinbar mit diesem Denkmodell wäre sogar, dass der Auftraggeber A den auftraggebenden Auftragnehmer B bei einer Kontrolle des C vor Ort begleitet und seine Kontrolltätigkeit kontrolliert.
Tatsächlich geht demnach der Einfluss des Auftraggebers auf die Datenerhebung, -verarbeitung und -nutzung nicht in einer Weise verloren, die zu einer größeren Gefährdung des allgemeinen Persönlichkeitsrechts des Betroffenen führt. Die Idee der Auftragsdatenverarbeitung ist, dass der Vertrag mit Weisungs- und Kontrollrechten zu einer Situation führt, die in Bezug auf das Gefährdungspotenzial für den Betroffenen gleichwertig mit einer eigenen Verarbeitung durch die verantwortliche Stelle ist. Der Subauftragnehmer C ist so eng an den Auftragnehmer B gebunden, dass dieser als Teil von B betrachtet wird, welcher seinerseits durch den Vertrag mit dem Auftraggeber A Teil des Auftraggebers A ist. Da die Letztentscheidungsgewalt innerhalb dieser mittelbaren Beziehung stets bei dem A liegt, ist eine erhöhte Gefährdung für die Betroffenenrechte nicht ersichtlich. Dies gilt dann nicht nur – wie allgemein anerkannt – für das erste Auftragsdatenverarbeitungsverhältnis einer Auftragskette. Es addiert sich bei einer verlängerten Auftragskette deshalb kein Risiko auf. Im Ergebnis führt das Stufenmodell somit zu einer gut vertret baren Aufgaben- und Verantwortlichkeitsverteilung bei der Begründung von Unterauftragsverhältnissen.
Zu empfehlen wäre allerdings die vertragliche Regelung von Auskunftsrechten und Informationspflichten der Beteiligten, die gewährleisten, dass die verantwortliche Stelle jeweils Kenntnis davon hat, wer ihre Daten im Auftrag erhebt oder verarbeitet.
d. Das „Mehr-Auftraggeber-Modell“ würde ebenfalls den Interessen des Betroffenen gerecht werden. In der Umsetzung ergeben sich allerdings Herausforderungen für die Vertragsgestaltung, die die Interessen von Auftraggebern und Auftragnehmern erheblich beinträchtigen können.
Der Subauftragnehmer C ist im „Mehr-Auftraggeber-Modell“ doppelt oder sogar mehrfach weisungsgebunden und der Kontrolle von zwei oder mehreren Stellen ausgesetzt. Die Pflicht, den Weisungen eines Dritten, eines Vierten oder gar eines Fünften zu folgen und sich von diesen kontrollieren zu lassen, müsste vertraglich begründet werden.
Bezogen auf das Schaubild 1) wären im Vertrag zwischen Auftragnehmer B und Subauftragnehmer C deshalb Regelungen zu Weisungs- und Kontrollrechten des Auftraggebers A erforderlich, damit ein Subauftragnehmer an die unmittelbaren Weisungen des Auftraggebers A gebunden ist und dessen Kontrollen dulden muss.
Um Transparenz in Bezug auf die Weisungs- und Kontrollrechte zu erreichen, müsste im Subunternehmervertrag jede Stelle mit Auftraggeberqualität in der Auftragskette konkret benannt werden.[6] Dabei handelt es sich um alle Stellen, die Vertragspartner eines Auftragnehmers oder Subauftragnehmers sind.
Verlängert sich die Kette im Schaubild 1 „nach rechts“, müsste stets der Auftraggeber A als übergeordneter Weisungsund Kontrollberechtigter in den Auftragsdatenverarbeitungsverträgen aufgenommen werden.
Verlängern kann sich die Kette im Schaubild 1 indes auch „nach links“. Dann nimmt der ursprüngliche Auftraggeber A einen Verarbeitungsauftrag an, den er ganz oder teilweise im Rahmen seines bestehenden Auftragsverhältnisses mit B durch B erledigen lässt. A wird nun selbst zum Auftragnehmer. In diesem Fall müssten sämtliche Verträge zur Auftragsdatenverarbeitung in der Auftragskette nachträglich geändert werden, um dem Auftraggeber des A Weisungs- und Kontrollrechte einzuräumen. Das so umgesetzte „Mehr-Auftraggeber-Modell“ würde in der Praxis dazu führen, dass sämtliche Verträge zur Auftragsdatenverarbeitung – und sei es nur ein Wartungs vertrag am Ende der Auftragskette – an die Veränderungen innerhalb der Auftragskette angepasst werden müssten. Insbesondere Wartungsdienstleister oder Unternehmen, deren Kerngeschäft zugleich eine Verarbeitung von Daten im Auftrag mit sich bringt, und die ihre Dienste regelmäßig verschiedenen Auftraggebern anbieten, würden zu einem erheblichen, nicht mehr zumutbaren Verwaltungsaufwand gezwungen sein. Dies wird insbesondere deutlich, wenn man bedenkt, dass zahl reiche Kunden eines Unternehmens, das Wartungs- oder Auftragsdatenverarbeitungsdienstleistungen anbietet, ihrerseits Teil einer Auftragskette sein können, deren einzelne Glieder sich in zeitlich unvorhersehbarer Reihenfolge ändern können.
Die permanente Anpassung von Verträgen in Auftragsketten, die auch bei realistischer Betrachtung ohne weiteres 10 Beteiligte umfassen können[7], wäre nach der hier vertretenen Auffassung in der Praxis nicht durchzuhalten und würde zu unzumutbaren Belastungen von Auftraggebern und Auftragnehmern führen. Zudem bedarf jede Vertragsänderung einer Einigung zweier Parteien, die in der Praxis nicht stets zeitnah und verlässlich gestaltet werden kann. Führte nur das „Mehr-Auftraggeber-Modell“ mit einer konkreten Benennung aller Weisungs- und Kontrollberechtigten zu einer rechtlich zulässigen Datenverarbeitungskette, käme dies wahrscheinlich einer Abschaffung der Beauftragungen von Subauftragnehmern gleich. Außerdem muss bezogen auf einen Subauftragnehmer eine Vielzahl von Weisungs- und Kontrollberechtigten nicht im Interesse der Betroffenen sein. Zwar gäbe es mehr Weisungs- und Kontrollberechtigte, deren Verantwortung wäre aber weniger klar voneinander abgegrenzt. Ein unkoordiniertes Weisungs- und Kontrollverhalten könnte zu Umsetzungsdefiziten in Bezug auf datenschutzrechtliche Vorschriften führen.
V. Die Rechtsbeziehungen des D
Grundsätzlich gilt hier das in Bezug auf den Subunternehmer C Gesagte entsprechend. Folgt man dem Stufenmodell, ist D lediglich Auftragnehmer i.S.d. § 11 Abs. 5 BDSG des C und an dessen Weisungen gebunden sowie dessen Kontrollen unterworfen. Folgt man hingegen dem Mehr-Auftraggeber-Modell, sieht sich D grundsätzlich den Weisungs- und Kontrollrechten des A, des B und des C ausgesetzt, denn alle haben einen Auftrag bzgl. der Daten erteilt, auf die er im Rahmen seiner Tätigkeit Zugriff haben könnte.
VI. Vereinbarung der technischen und organisatorischen Maßnahmen zur Datensicherheit bei Subauftragnehmern
Alle Verträge über Auftragsdatenverarbeitung, und demnach auch die Unterauftragsdatenverarbeitungsverträge, müssen Regelungen zu den nach § 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen enthalten (§ 11 Abs. 2 Satz 2 Nr. 3 BDSG). Das heißt, dass grundsätzlich der Vertrag zwischen Auftragnehmer und Subauftragnehmer die technischen und organisatorischen Maßnahmen zur Datensicherheit übernehmen muss, die in dem Vertrag zwischen Auftraggeber und Auftragnehmer festgelegt worden sind, denn anderenfalls würde die Begründung des Unterauftragsverhältnisses dazu führen, dass die Datensicherheitsmaßnahmen, welche zwischen Auftraggeber und Auftragnehmer vereinbart worden sind, tatsächlich bei der Verarbeitung der Daten des Auftraggebers nicht eingehalten würden.
Wird der Subauftragnehmervertrag nach dem Vertrag über die Auftragsdatenverarbeitung zwischen Auftraggeber und Auftragnehmer geschlossen, kann der Auftragnehmer die gleichen Datensicherheitsmaßnahmen im Verhältnis zum Subauftragnehmer vereinbaren. Häufig folgt in der Praxis jedoch ein Vertrag zwischen Auftraggeber (A) und Auftragnehmer (B) zeitlich einem Vertrag zwischen dem auftraggebenden Auftragnehmer (B) und Subauftragnehmer (C). Wenn man z.B. ein Unter nehmen nimmt, das Auftragsdatenverarbeitungen als Geschäftsgegenstand hat und diese Dienstleistung gegenüber einer Vielzahl von Kunden anbietet (wie es z.B. ein Rechenzentrum tut), gibt es einen ständig wechselnden Bestand von Kunden (Auftraggebern). Arbeitet der Auftragnehmer dauerhaft mit eigenen Auftragnehmern (Sub-Rechenzentren, Wartungsdienstleistern etc.) zusammen, so müsste er im Verhältnis zu seinem Dienstleister stets die jeweils von dem einzelnen Kunden (Auftraggeber) vor geschriebenen Datensicherheitsmaßnahmen erneut im Verhältnis zu seinem Dienstleister vereinbaren und bestehende Verträge einvernehmlich angleichen. Das gleiche Problem hat schon der Auftragnehmer (B), wenn er für mehrere Auftraggeber arbeitet, die von ihm unterschiedlichen technischen und organisatorische Maß nahmen ver langen. Deswegen muss es möglich sein, innerhalb einer Auftragsdatenverarbeitungskette jeweils unterschiedliche technische und organisa torische Maßnahmen zu ver einbaren, wenn diese jeweils den Anforderungen des § 9 BDSG ent sprechen. Je nach Sachlage (Räumlichkeiten, technische Einrichtung, verwandte Software etc.) kann es sogar geboten sein, im Subauftragsdaten verarbeitungsvertrag von den technischen und organisatorischen Maßnahmen abzuweichen, die im Vertrag zwischen Auftraggeber und Auftragnehmer vereinbart worden sind, um etwa den konkreten Risiken im Subauftragnehmerbetrieb Rechnung zu tragen und den Anforderungen des § 9 BDSG zu entsprechen. Entscheidend ist somit nicht, dass alle Datenverarbeiter in der Auftragskette die gleichen tech nischen und organisatorischen Maßnahmen durchführen, entscheidend ist, dass jeder Vertrag die technischen und organisatorischen Maßnahmen enthält, die für die Daten sicherheit beim jeweiligen Auftragnehmer erforderlich sind.
VII. Fazit
Die Praxis der Auftragsdatenverarbeitung ist häufig – wenn auch von den Beteiligten selten wahrgenommen – mit einer Einbindung der Auftraggeber und Auftragnehmer in Auftragsketten verbunden. Das Gesetz sieht in § 11 Abs. 2 Satz 2 Nr. 6 BDSG ausdrücklich die Möglichkeit vor, Auftragnehmer zum Abschluss von Unterauftragsverhältnissen zu berechtigen.
Für die Regelung der Weisungs- und Kontrollrechte gegenüber den Subauftragnehmern kommen im Wesentlichen drei oben näher erläuterte Modelle in Betracht.
Während das „Durchgriffsmodell“ ausschließlich eine Weisungs- und Kontrollbefugnis bei dem Auftraggeber sieht, behandelt das „Stufenmodell“ das Verhältnis zwischen Auftragnehmer und Subauftragnehmer grundsätzlich wie das Verhältnis zwischen Auftraggeber und Auftragnehmer, ohne direkte Weisungs- und Kontrollrechte des ursprünglichen Auftraggebers vorzusehen. Das „Mehr-Auftraggeber-Modell“ vereint die Ansätze der vorgenannten Modelle und sieht neben den Weisungs- und Kontrollrechten der jeweilig unmittelbar beauftragenden Partei immer auch Weisungs- und Kontrollrechte des ursprünglichen Auftraggebers und aller den Auftrag vermittelnden Parteien vor.
Letztlich ist allen Modellen gemein, dass die leitende Funktion des Auftraggebers als verantwortliche Stelle e rhalten bleibt. Dies gilt auch für das Stufenmodell, da der Auftraggeber den Auftragnehmer in dessen Rolle als auftraggebender Vertragspartner des Subauftragnehmers uneingeschränkt lenken kann.
Das Stufenmodell kommt zu sachgerechten Ergebnissen, ohne die schutzwürdigen Interessen der Betroffenen aus den Augen zu verlieren. Eine Verringerung des Datenschutzniveaus tritt nicht ein, da so wie die Auftragsdatenverarbeitung im Verhältnis A und B den Auftragnehmer B gewissermaßen zu einem Teil der verantwortlichen Stelle (A) macht, wird durch den Auftragsdatenverarbeitungsvertrag zwischen B und C der Subauftragnehmer C gewissermaßen zum Teil von B, welcher wiederum gewissermaßen Teil von A ist (siehe oben Schaubild 2).
Das Durchgriffsmodell harmoniert nach der hier vertretenen Ansicht hingegen nicht mit der gesetzlichen Konzeption, nach der es der Auftragnehmer ist, der den Auftrag an den Subunternehmer gibt und somit eine eigene vertragliche Beziehung und eine eigene Verantwortung hat.
Das „Mehr-Auftraggeber-Modell“ führt zu einer in vielen Fällen schwer überschaubaren Konstellation, in der sich der Subauftragnehmer am Ende einer Kette einer Vielzahl von wechselnden Kontrolleuren und Weisungsgebern gegenübersieht und die jeweiligen Verträge zur Auftragsdatenverarbeitung bei einem Wechsel von auftraggebenden Beteiligten in der Auftragskette angepasst werden müssten.
Ob das entstehende Durchgriffsrecht des Auftraggebers A gegenüber sämtlichen Auftragnehmern überhaupt ausgeübt werden würde, ist in der Praxis zu bezweifeln. Außerdem muss bezogen auf einen Subauftragnehmer eine Vielzahl von Weisungs- und Kontrollberechtigten nicht im Interesse der Betroffenen sein. Zwar gäbe es mehr Weisungs- und Kontrollberechtigte, deren Verantwortung wäre aber weniger klar voneinander abgegrenzt. Ein unkoordiniertes Weisungs- und Kontrollverhalten könnte zu Umsetzungsdefiziten in Bezug auf datenschutzrechtliche Vorschriften führen.
Da man zudem in einer inzwischen extrem arbeitsteilig agierenden Wirtschaft schwerlich eine Auftragsdatenverarbeitung in einer Auftragskette auf zwei oder drei Glieder begrenzen kann, ist die interessengerechte Lösung im Stufenmodell zu sehen.
Dementsprechend können in Auftragsketten die technischen und organisatorischen Maßnahmen, die in den einzelnen Auftragsdatenverarbeitungsverträgen geregelt werden, voneinander abweichen, wenn die technischen und organisatorischen Maßnahmen jeweils den Anforderungen des § 9 BDSG genügen.
Dr. Frank Bongers
Der Autor ist Rechtsanwalt und Fachanwalt für Arbeitsrecht bei ESCHE SCHÜMANN COMMICHAU in Hamburg. Er berät private Unternehmen und öffentlich-rechtliche Stellen in allen Fragen des Datenschutzes und des Arbeitsrechts. Nach rechtswissenschaftlichem Studium und Promotion in Münster war er von 1999 bis 2002 Personaljurist beim Sparkassen- und Giroverband für Schleswig-Holstein in Kiel.
Seit 2002 ist er Rechtsanwalt bei ESCHE SCHÜMANN COMMICHAU. Ergänzend ist Dr. Frank Bongers regelmäßig als Referent im Rahmen von Fachseminaren und als Autor tätig.
Dr. Karsten Krupna
Der Autor ist als Rechtsanwalt insbesondere in den Bereichen Datenschutz und IT-Recht bei ESCHE SCHÜMANN COMMICHAU in Hamburg tätig. Er studierte Rechtswissenschaften in Jena, Marburg und Adelaide und promovierte anschließend an der Universität Marburg.
Vor seinem Wechsel zu ESCHE SCHÜMANN COMMICHAU war er als Rechtsanwalt in einer internationalen Wirtschaftskanzlei in Frankfurt am Main tätig. Herr Dr. Karsten Krupna ist Autor verschiedener Veröffentlichungen im Bereich Datenschutz.
[1] Auf Wartungsdienstleister sind die Vorschriften des Rechts der Auftragsdatenverarbeitung gem. § 11 Abs. 5 BDSG entsprechend anzuwenden.
[2] Gabel, in: Taeger/Gabel, § 11 Rn. 47; Plath, in: Plath (Hrsg.), BDSG, § 11 Rn. 106.
[3] Matrjoschkas sind traditionelle russische Puppen in unterschiedlichen Größen, die in der Mitte teilbar sind und von denen jeweils die kleinere Puppe so in die nächstgrößere Puppe gesteckt werden kann, so dass alle Puppen in der größten Puppe ineinander geschachtelt Platz finden. Die größte Puppe entspricht gewissermaßen in diesem Vergleich der verantwortlichen Stelle. Unmittelbare Berührungspunkte gibt es bei der Matrjoschka aber nur zwischen jeweils 2 Puppen.
[4] So offenbar Plath, in Plath § 11 Rn. 106; Gabel, in: Taeger/Gabel § 11 Rn. 47; Petri, in: Simitis, BDSG, 7. Aufl., § 11 Rn. 76); Gola/Schomerus, BDSG, 11. Aufl., § 11 Rn. 18e.
[5] Auf die Besonderheiten der Vertragsgestaltung bei dem Erfordernis der Begründung von Weisungs- und Kontrollrechten Dritter wird unter IV.2 d näher eingegangen.
[6] Erwägen könnte man eine Klausel, mit der B und C vereinbaren, dass B berechtigt ist, sein Weisungs- und Kontrollrecht gegenüber C auf einen jeweilig von ihm zu benennenden, ihm übergeordneten „Überauftraggeber“ zu übertragen, oder man könnte erwägen zu regeln, dass ein (Sub-) Auftragnehmer sich stets dem Kontroll- und Weisungsrecht eines Dritten für die Fälle unterwirft, dass sein Auftraggeber (B) die von ihm verarbeiteten personenbezogenen Daten seinerseits – anfänglich oder im Laufe des Vertragsverhältnisses mit dem Subauftragnehmer – im Auftrag eines Dritten verarbeitet. Eine solche Regelung würde aber zwangsläufig intransparent sein. Eine intransparente Regelung der Weisungs- und Kontrollrechte kann in der Praxis wiederum die Verantwortlichkeit einzelner Akteure in Frage stellen. Mehrere Kontrollberechtigte könnten versucht sein, sich aufeinander zu verlassen, und Weisungen mehrerer Weisungsberechtigter könnten inkongruent erteilt werden. Dies könnte zu Umsetzungsdefiziten in Bezug auf Weisungs- und Kontrollrechte führen.
[7] Um die Existenz und das Ausmaß von Verarbeitungsketten zu verdeutlichen, wird im Folgenden das unter II. angeführte Beispiel auf 10 Beteiligte erweitert, wobei weitere Beteiligte denkbar wären: A vergibt Gehaltsabrechnungsaufgaben im Konzern an die Muttergesellschaft B. B lässt die für die Gehaltsabrechnung erforderlichen Daten von der konzerneigenen Servicegesellschaft C für die Weitergabe an das auf Gehaltsabrechnung spezialisierte Dienstleistungsunternehmen D zusammenstellen und durch Eingaben in von D vorgefertigte Masken vorbereiten. Die Daten werden von C an D versandt und dort verarbeitet. D bereitet die Gehaltsabrechnungen für den Versand mit Hilfe des Lettershops F vor. F erhält dazu die Adressdaten und die Gehaltsabrechnungsdaten. F verarbeitet die Daten mit Hilfe eines Rechenzentrums G. Das Rechenzentrum G nutzt hilfsweise Speicherkapazitäten des Anbieters E. E hat einer Wartungsdienstleister F, der faktischen Zugriff auf die Daten von E hat und diese zu Prüfungs- und Wartungszwecken im eigenen System zwischenspeichert. F hat seinerseits einen externen Wartungsdienstleister G. G lässt Datenträger, auf denen einzelne Daten zu Prüfungszwecken gespeichert sind, oder Probeausdrucke vernichten – also im Auftrag löschen. Dazu beauftragt er das Unternehmen H, das bei Kapazitätsengpässen sporadisch J beauftragt. Wenn in dieser Konstellation sich der Konzern um eine weitere Gesellschaft mit Arbeitnehmern, deren Gehalt abzurechnen wäre, erweitert, müssten im „Mehr-Auftraggeber-Modell“ 9 einvernehmlich Verträge angepasst werden, wenn man auf eine intransparente Regelung zu Weisungs- und Kontrollrechten der Auftraggeber in Subauftragnehmerverträgen verzichten will.