Was ist ein Unterauftragsverarbeiter?

Ein Unterauftragsverarbeiter ist ein Drittunternehmen, das von einem Auftragsverarbeiter beauftragt wird, personenbezogene Daten im Auftrag eines Verantwortlichen zu verarbeiten. Diese Beziehung ist im Zusammenhang mit der DSGVO von entscheidender Bedeutung, da sie die Verantwortung für den Datenschutz auf alle externen Parteien ausweitet, die ein Auftragsverarbeiter möglicherweise in die Verarbeitungsaktivitäten einbezieht.

Die Rollen und Verantwortlichkeiten eines Unterauftragsverarbeiters

Gemäß DSGVO muss ein Unterauftragsverarbeiter dieselben Datenschutzpflichten erfüllen wie der ursprüngliche Auftragsverarbeiter. Dazu gehört, dass sichergestellt wird, dass die Daten sicher und nur für die vom Verantwortlichen angegebenen Zwecke verarbeitet werden. Der Auftragsverarbeiter wiederum muss vor der Beauftragung eines Unterauftragsverarbeiters die vorherige schriftliche Zustimmung des Verantwortlichen einholen, was Transparenz und Compliance unabdingbar macht.

Unterauftragsverarbeiter und ihre gesetzlichen Pflichten

Der Einsatz von Unterauftragsverarbeitern ist in der DSGVO streng geregelt. Bevor ein Unterauftragsverarbeiter beauftragt werden kann, muss der Auftragsverarbeiter den Verantwortlichen informieren und eine spezielle Genehmigung einholen. Darüber hinaus müssen Unterauftragsverarbeiter die Bedingungen der Datenverarbeitungsvereinbarung einhalten, die sie an das gleiche Datenschutzniveau bindet, das der Auftragsverarbeiter mit dem Verantwortlichen vereinbart hat.

Subprozessor-Analogie

Wir haben ein Kind, einen Elternteil und ein Spielzeug. Stellen wir uns vor, dass es sich bei dem Spielzeug um personenbezogene Daten handelt. Das Kind ist dasjenige, das mit dem Spielzeug spielt, es hat Zugriff auf das Spielzeug und kann entscheiden, wo es aufbewahrt wird. Der Elternteil ist jedoch der eigentliche Eigentümer des Spielzeugs und entscheidet, was das Kind mit dem Spielzeug tun darf und was nicht.

‍

Beim Datenschutz sind die Daten das Spielzeug, der Prozessor das Kind und der Controller das Elternteil. Das bedeutet, dass der Controller die Regeln für die Verwendung der Daten durch den Prozessor festlegt und der Prozessor diese Regeln einhalten muss.

Beispiel für einen Unterauftragsverarbeiter: Google Drive

Unterauftragsverarbeiter sind in verschiedenen Branchen üblich, in denen spezialisierte Dienste erforderlich sind. Nehmen wir beispielsweise an, Sie verwenden Google Drive. Google Drive (Auftragsverarbeiter) wählt aus, auf welchen Servern Daten gespeichert werden und welche Sicherheitsmaßnahmen getroffen werden. Letztendlich entscheiden Sie jedoch, welche Daten auf Google Drive hochgeladen werden, wann sie bearbeitet und wann sie entfernt werden . Damit sind Sie der Verantwortliche.

Hinweis: Ein Auftragsverarbeiter muss keine personenbezogenen Daten speichern, um als solcher zu gelten; die bloße Übermittlung oder der Zugriff auf die Daten genügt. Integrationstools wie Zapier oder Integromat gelten beispielsweise ebenfalls als Auftragsverarbeiter.

Worin unterscheidet sich ein Unterauftragsverarbeiter von einem Auftragsverarbeiter?

Ein Auftragsverarbeiter ist eine Partei, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet und dabei direkt den Anweisungen des Verantwortlichen folgt. Ein Unterauftragsverarbeiter hingegen ist eine Drittpartei, die vom Auftragsverarbeiter beauftragt wird, im Auftrag des Verantwortlichen bestimmte Verarbeitungsaufgaben auszuführen.

Während der Auftragsverarbeiter eine direkte Beziehung zum Verantwortlichen hat, wird der Unterauftragsverarbeiter vom Auftragsverarbeiter hinzugezogen, um bestimmte Aspekte der Datenverarbeitung abzuwickeln. Beide sind an die DSGVO-Anforderungen gebunden, ihre Rollen und Verantwortlichkeiten unterscheiden sich jedoch je nach ihrer Beziehung zum Verantwortlichen.

Beispiel : Angenommen, Google Drive verwendet Amazon Web Services zum Betreiben seiner Server und Mailchimp, um Ihnen eine E-Mail zu senden, wenn Ihnen jemand Zugriff auf eine Datei gewährt. In diesem Szenario sind Amazon Web Services und Mailchimp Prozessoren für Google Drive.

Wenn wir einen Prozessor wie Google Drive verwenden, bezeichnen wir die Prozessoren, die sie verwenden, um Ihnen einen Dienst bereitzustellen (in diesem Fall Amazon Web Services und Mailchimp) , als Unterprozessoren.

Um es noch einmal zusammenzufassen: Unterauftragsverarbeiter sind die Auftragsverarbeiter Ihrer Auftragsverarbeiter.

Warum müssen Sie wissen, wer Ihre Unterauftragsverarbeiter sind?

Wenn Sie in Ihrem Unternehmen als Auftragsverarbeiter agieren (bei den meisten SaaS-Anbietern handelt es sich um Auftragsverarbeiter), müssen Sie über eine Datenverarbeitungsvereinbarung verfügen. Diese Vereinbarung ist gesetzlich vorgeschrieben und legt Ihre Verantwortlichkeiten und die des Verantwortlichen fest.

In dieser Vereinbarung müssen Sie angeben, wer Ihre eigenen Auftragsverarbeiter sind, da diese als Unterauftragsverarbeiter für Ihre Kunden fungieren. Sie müssen außerdem angeben: den Zweck, für den Sie diese Unternehmen beauftragen, und die Länder, in denen die Daten verarbeitet werden.

In unserem Beispiel enthält die Datenverarbeitungsvereinbarung von Google Drive Folgendes:

Wichtige Erkenntnisse und Zusammenfassung

In diesem Artikel haben wir Ihnen geholfen, die folgenden Informationen zu Unterauftragsverarbeitern zu verstehen:

• Unterauftragsverarbeiter sind Drittparteien, die von Auftragsverarbeitern mit der Verarbeitung personenbezogener Daten im Auftrag der für die Datenverarbeitung Verantwortlichen beauftragt werden, wodurch die Verantwortlichkeiten im Rahmen der DSGVO erweitert werden.
• Sie müssen dieselben Datenschutzpflichten einhalten wie Verarbeiter, einschließlich der Einholung von Genehmigungen und der Einhaltung von Datenverarbeitungsvereinbarungen.
• Durch die ordnungsgemäße Verwaltung von Unterauftragsverarbeitern werden Compliance, Transparenz und Schutz personenbezogener Daten gewährleistet und organisatorische Risiken reduziert.

Unterauftragsverarbeiter - Häufig gestellte Fragen

Was ist die Hauptaufgabe eines Unterauftragsverarbeiters?

Ein Unterauftragsverarbeiter unterstützt den Hauptauftragsverarbeiter, indem er im Auftrag des Datenverantwortlichen bestimmte Datenverarbeitungsaufgaben übernimmt. Er muss dieselben Datenschutzregeln einhalten wie der Hauptauftragsverarbeiter.

Muss ein Unterauftragsverarbeiter DSGVO-konform sein?

Ja, Unterauftragsverarbeiter müssen die DSGVO-Vorschriften einhalten und sicherstellen, dass personenbezogene Daten sicher und in Übereinstimmung mit dem zwischen dem Verantwortlichen und dem Hauptauftragsverarbeiter geschlossenen Vertrag verarbeitet werden.

Kann ein Unterauftragsverarbeiter ohne Zustimmung des Verantwortlichen beauftragt werden?

Nein, der Datenverantwortliche muss vorab seine schriftliche Zustimmung erteilen, bevor ein Auftragsverarbeiter einen Unterauftragsverarbeiter beauftragen kann.

Was passiert, wenn ein Unterauftragsverarbeiter die DSGVO nicht einhält?

Wenn ein Unterauftragsverarbeiter die DSGVO nicht einhält, kann der Hauptauftragsverarbeiter haftbar gemacht werden und dem Unterauftragsverarbeiter drohen möglicherweise Strafen. Es ist von entscheidender Bedeutung, dass sowohl der Auftragsverarbeiter als auch der Unterauftragsverarbeiter die DSGVO-Konformität aufrechterhalten.

Sind Unterauftragsverarbeiter in allen Branchen üblich?

Unterauftragsverarbeiter werden in vielen Branchen eingesetzt, insbesondere wenn spezialisierte Dienste benötigt werden, wie etwa in den Bereichen Cloud Computing, Datenanalyse und Marketingdienste.