Beauftragungskette

Die Bezeichnung „Beauftragungskette“ findet im Rahmen der Datenübermittlung Verwendung. Unter der Beauftragungskette ist eine weitere Auslagerung der Daten über den Auftragnehmer an (einen) weitere(n) Unterauftragnehmer zu verstehen. Das Beauftragen eines Unterauftragsnehmers ist keine Seltenheit mehr, allerdings kann dies, insbesondere für den Auftraggeber am Anfang der Kette, zu einigen Risiken führen.

Ihr externer Datenschutzbeauftragter erklärt, was Sie als Auftraggeber beachten sollten, wenn Ihr Dienstleister ebenfalls Dienstleister einsetzt.

Beauftragungskette innerhalb der EU/des EWR

Findet die Beauftragung eines Unterauftragnehmers im Rahmen einer inneneuropäischen Auftragsdatenverarbeitung (ADV) statt, so stellt dies i. d. R. keine besondere Problematik dar. In diesem Fall ist ein Vertrag zur Auftragsdatenverarbeitung gemäß § 11 BDSG zwischen Auftraggeber und –nehmer ausreichend. Wenn Sie mehr zum Thema „Auftragsdatenverarbeitung“ erfahren möchten, dann lesen Sie unseren Beitrag „Auftragsdatenverarbeitung oder Funktionsübertragung – datenschutzrechtliche und –organisatorische Unterscheidung von Dienstleistern“.

Beauftragungskette außerhalb der EU/des EWR

Grundsätzlich muss bei Datenübermittlungen – unabhängig, ob ein Unterauftragnehmer eingesetzt wird oder nicht - geprüft werden, ob eine Rechtsgrundlage oder informierte Einwilligungen für die Datenübermittlung vorliegen.

Bei einer Datenübermittlung mit einem Unterauftragnehmer in einem Drittland, sollte der Auftragnehmer vertraglich dazu verpflichtet werden, die gleichen Regelungen mit dem Unterauftragnehmer zu treffen. Dabei sollte es genügen, wenn der Auftraggeber mit dem Auftragnehmer EU-Standardvertragsklauseln abschließt, allerdings ist es anzuraten, auf kompetente Unterstützung zurückzugreifen, da die beste Lösung von Fall zu Fall unterschiedlich ausfallen kann.

Für den Fall, dass der Auftragnehmer seinen Sitz in der EU/EWR hat und der Unterauftragnehmer in einem Drittland, gibt es keine konkreten Regelungen, wobei der Abschluss von EU-Standardvertragsklauseln zwischen dem Auftraggeber und Unterauftragnehmer der richtige Weg sein könnte, allerdings sollte dies ebenfalls von einem Datenschutzbeauftragten oder einen Datenschutzberater geprüft werden.

Fazit

Die Datenübermittlung an Dienstleister ist eine Thematik, die sehr komplex und heikel werden kann. Der Grund ist, dass zahlreiche Faktoren berücksichtigt werden sollten und im Einzelfall entschieden werden muss, welche vertraglichen Grundlagen geeignet sind.

Es ist daher unerlässlich, kompetente Unterstützung bei dieser Thematik zu haben.

Brands Consulting steht Ihnen dabei gerne zur Seite. Wir bieten Ihnen optimal Unterstützung in Sachen Datenschutz. Holen Sie sich ein unverbindliches und kostenloses Angebot zum Datenschutz bei uns ein oder nehmen Sie mit uns Kontakt auf und profitieren Sie von unserer Erfahrung.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.