Verantwortliche müssen ihre Auftragsverarbeiter nach bestimmten Kriterien sorgfältig auswählen. Dazu gehören insbesondere Fachwissen, Ressourcen und Zuverlässigkeit, um die Einhaltung der Datenschutz-Grundverordnung (DSGVO) zu gewährleisten (Art. 28 DSGVO, Erwägungsgrund 81). Diese sorgfältige Auswahl vor einer Auftragsverarbeitung müssen Verantwortliche sowohl dokumentieren als auch gegenüber der Datenschutzaufsichtsbehörde nachweisen können.
Gefahr des Zugriffs staatlicher Stellen auf Daten
Was aber passiert, wenn der Auftragsverarbeiter zwar seinen Sitz in der EU hat, seine Muttergesellschaft jedoch in einem sogenannten Drittstaat im Sinne der DSGVO ansässig ist? Das kann für den Verantwortlichen und den Auftragsverarbeiter dann problematisch werden, wenn das Recht des Drittstaats vorsieht, dass staatliche Stellen verlangen können, auf personenbezogene Daten bei der Muttergesellschaft und auch bei dem Auftragsverarbeiter, der in der EU niedergelassen ist, zuzugreifen.
Mit einer solchen Konstellation hat sich die Datenschutzkonferenz in ihrem Beschluss vom 31. Januar 2023 befasst (siehe https://ogy.de/dsk-extraterritoriale-zugriffe). Nach diesem Beschluss steht in solchen Fällen die erforderliche Zuverlässigkeit des Auftragsverarbeiters infrage. Im Ergebnis führt das dazu, dass entweder – bei Herausgabe der Daten – ein Verstoß gegen die DSGVO vorliegt oder aber der Auftragsverarbeiter und die Muttergesellschaft gegen das Recht ihres Hauptsitzlands verstoßen müssen.
