Der Verantwortliche ist verpflichtet, über die direkte Kontrolle des Auftragsverarbeiters hinaus, auch die vom Auftragsverarbeiter eingesetzten Subunternehmer vertraglich abzusichern und zu überprüfen (Art. 18 Abs. 3 lit. d). Entsprechende Dokumente sind im Rahmen eines Audits durch den Auftragsverarbeiter, der weitere Subauftragnehmer einsetzt, vorzulegen.
Zudem muss sichergestellt sein, dass der Verantwortliche gegebenenfalls seinen Kontrollpflichten auch mit Kontrollen vor Ort beim Subauftragnehmer nachkommen kann. Entsprechende vertragliche Absicherungen sind durch den Auftragsverarbeiter zur Verfügung zu stellen.
Der Auftragsverarbeiter hat seinen Sitz innerhalb der EU, die Subauftragnehmer in Drittstaaten
Ein häufig vorkommender Fall ist die Konstellation, bei der ein Auftragsverarbeiter zwar seinen Sitz in der EU hat, die Subauftragnehmer sitzen jedoch in Drittstaaten. Nicht selten enthalten Verträge zur Auftragsverarbeitung in derartigen Fällen erhebliche Regelungslücken, oftmals zuungunsten des Verantwortlichen. Diese trägt, sofern er vertraglich zugestimmt hat, zunächst das volle datenschutzrechtliche Risiko.
Im Rahmen eines Audits gelingt es mitunter, deutliche Verbesserungen zu erzielen und zum Beispiel über technisch-organisatorische Maßnahmen bessere Lösungen zu finden.
Generell gilt, beim Einsatz von Subauftragnehmern gelten die gleichen Regelungen, wie beim Auftragsverarbeiter. Das zugesicherte Datenschutz- und Datensicherheitsniveau darf auch beim Einsatz von Subauftragnehmern nicht unterschritten werden.
Weitere Informationen zum Drittstaatentransfer finden Sie hier.
Home *** Angebot anfordern *** Prüfkriterien *** Internationaler Datentransfer *** Subauftragnehmer *** Zertifizierung *** FAQ