Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

18. Mai 2023

Auftragsverarbeiter mit Muttergesellschaft in Drittstaaten

DP+
Die Zuverlässigkeit von Auftragsverarbeitern steht nicht nur bei US-Konzernen infrage
Bild: iStock.com / VitaliyPozdeyev
0,00 (0)
Sorgfältige Auswahl ist Pflicht
Setzen Verantwortliche Auftragsverarbeiter ein, deren Mutterkonzern in einem Drittstaat seinen Sitz hat, kann sich das auf die Zuverlässigkeit dieses Auftragsverarbeiters auswirken. Lesen Sie, in welchen Fällen das so ist und was die Datenschutzkonferenz (DSK) empfiehlt.

Verantwortliche müssen ihre Auftragsverarbeiter nach bestimmten Kriterien sorgfältig auswählen. Dazu gehören insbesondere Fachwissen, Ressourcen und Zuverlässigkeit, um die Einhaltung der Datenschutz-Grundverordnung (DSGVO) zu gewährleisten (Art. 28 DSGVO, Erwägungsgrund 81). Diese sorgfältige Auswahl vor einer Auftragsverarbeitung müssen Verantwortliche sowohl dokumentieren als auch gegenüber der Datenschutzaufsichtsbehörde nachweisen können.

Gefahr des Zugriffs staatlicher Stellen auf Daten

Was aber passiert, wenn der Auftragsverarbeiter zwar seinen Sitz in der EU hat, seine Muttergesellschaft jedoch in einem sogenannten Drittstaat im Sinne der DSGVO ansässig ist? Das kann für den Verantwortlichen und den Auftragsverarbeiter dann problematisch werden, wenn das Recht des Drittstaats vorsieht, dass staatliche Stellen verlangen können, auf personenbezogene Daten bei der Muttergesellschaft und auch bei dem Auftragsverarbeiter, der in der EU niedergelassen ist, zuzugreifen.

Mit einer solchen Konstellation hat sich die Datenschutzkonferenz in ihrem Beschluss vom 31. Januar 2023 befasst (siehe https://ogy.de/dsk-extraterritoriale-zugriffe). Nach diesem Beschluss steht in solchen Fällen die erforderliche Zuverlässigkeit des Auftragsverarbeiters infrage. Im Ergebnis führt das dazu, dass entweder – bei Herausgabe der Daten – ein Verstoß gegen die DSGVO vorliegt oder aber der Auftragsverarbeiter und die Muttergesellschaft gegen das Recht ihres Hauptsitzlands verstoßen müssen.

[vc_r…

Andrea Gailus
+

Weiterlesen mit DP+

Sie haben noch kein Datenschutz-PRAXIS-Abo und möchten weiterlesen?

Weiterlesen mit DP+
Konzentrieren Sie sich aufs Wesentliche
Profitieren Sie von kurzen, kompakten und verständlichen Beiträgen.
Kein Stress mit Juristen- und Admin-Deutsch
Lesen Sie praxisorientierte Texte ohne Fußnotenapparat und Techniker-Sprech.
Sparen Sie sich langes Suchen
Alle Arbeitshilfen und das komplette Heftarchiv finden Sie online.
Verfasst von
Andrea Gailus
Andrea Gailus
Rechtsanwältin Andrea Gailus ist in eigener Anwaltskanzlei tätig und befasst sich neben dem Zivilrecht schwerpunktmäßig mit IT- und Datenschutzrecht.
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.