Unterauftragsverarbeiter

Auch: Subauftragsverarbeiter · Sub-Processor

Ein Unterauftragsverarbeiter (Sub-Processor) ist ein Dienstleister, den ein Auftragsverarbeiter zusätzlich beauftragt, um Teile der für den Verantwortlichen zu erbringenden Datenverarbeitung durchzuführen. Er tritt somit als weiteres Glied in die Verarbeitungskette ein, ohne dass der Makler als Verantwortlicher direkt mit ihm vertraglich verbunden ist.

Ausführliche Erklärung

Für Makler ist der Unterauftragsverarbeiter meist "unsichtbar" im Hintergrund tätig – er wird nicht direkt beauftragt, sondern vom eigentlichen Vertragspartner (dem Auftragsverarbeiter, z. B. dem CRM- oder Cloud-Anbieter) eingesetzt.

Praxisrelevante Punkte:

  • Typische Beispiele: Ein CRM-Anbieter, mit dem der Makler einen Auftragsverarbeitungsvertrag geschlossen hat, nutzt für den Betrieb seiner Server ein Rechenzentrum eines Hyperscalers (z. B. AWS, Microsoft Azure) – dieser Cloud-Anbieter ist dann Unterauftragsverarbeiter. Weitere Beispiele: E-Mail-Versanddienste, SMS-Gateways, externe Support-Dienstleister mit Datenzugriff.
  • Genehmigungspflicht: Der Auftragsverarbeiter darf einen Unterauftragsverarbeiter nur mit vorheriger, mindestens allgemeiner schriftlicher Genehmigung des Verantwortlichen einsetzen (Art. 28 Abs. 2 DSGVO). Bei allgemeiner Genehmigung muss der Verantwortliche über Änderungen informiert werden und ein Widerspruchsrecht haben.
  • Pflichtenweiterreichung: Dem Unterauftragsverarbeiter müssen dieselben Datenschutzpflichten auferlegt werden wie dem Hauptauftragsverarbeiter (Art. 28 Abs. 4 DSGVO) – insbesondere hinsichtlich technisch-organisatorischer Maßnahmen und Weisungsgebundenheit.
  • Haftungskette: Erfüllt der Unterauftragsverarbeiter seine Pflichten nicht, haftet gegenüber dem Verantwortlichen zunächst der ursprüngliche Auftragsverarbeiter (Art. 28 Abs. 4 Satz 2 DSGVO) – der Makler selbst bleibt aber gegenüber Betroffenen und Aufsichtsbehörde als Verantwortlicher in der Letztverantwortung.
  • Drittlandbezug: Sitzt der Unterauftragsverarbeiter außerhalb der EU/des EWR, sind zusätzlich geeignete Garantien erforderlich (z. B. Standardvertragsklauseln oder ein Angemessenheitsbeschluss).
  • Transparenz: Anbieter müssen Unterauftragsverarbeiter meist in einer öffentlich einsehbaren Subunternehmerliste dokumentieren, die der Makler bei Vertragsschluss und regelmäßig danach prüfen sollte.

Beispiel aus der Praxis

Ein Makler nutzt ein CRM-System eines deutschen Anbieters. Dieser Anbieter betreibt seine Server jedoch nicht selbst, sondern mietet Rechenkapazität bei einem großen Cloud-Provider mit Rechenzentrum in Frankfurt. Der Cloud-Provider ist in diesem Fall Unterauftragsverarbeiter – der CRM-Anbieter musste den Einsatz vorab genehmigen lassen und ihm dieselben Datenschutzpflichten vertraglich auferlegen wie sich selbst.

Rechtsgrundlage

  • Art. 28 Abs. 2 DSGVO – Genehmigungspflicht für den Einsatz von Unterauftragsverarbeitern.
  • Art. 28 Abs. 4 DSGVO – Pflicht zur Weiterreichung der Datenschutzverpflichtungen an Unterauftragsverarbeiter und Haftungsregelung.

Verwandte Begriffe