Unterauftragsverarbeiter unter der DSGVO verwalten
Sie haben Ihren Anbieter geprüft, den AVV unterzeichnet und sich dem nächsten Brandherd zugewandt. Genau das habe ich öfter getan, als ich gern zugeben würde. Das Problem ist, dass Ihr Anbieter sich auf seine eigenen Anbieter verlässt (Hosting, E-Mail-Versand, Analyse, Support-Tools), und unter der DSGVO sind diese Unterauftragsverarbeiter ebenfalls Teil Ihres Compliance-Bildes. Meiner Erfahrung nach ist die Verwaltung von Unterauftragsverarbeitern der Punkt, an dem viele ansonsten ordentliche Datenschutzprogramme klammheimlich scheitern.
Dies ist eine praxisnahe Orientierung, keine Rechtsberatung.
Am Ende dieses Leitfadens werden Sie:
- verstehen, was ein Unterauftragsverarbeiter ist und warum Artikel 28 DSGVO ihn zu Ihrer Angelegenheit macht.
- wissen, wie das Benachrichtigungs- und Widerspruchsmodell funktioniert und wo sich die Frist versteckt.
- über einen wiederholbaren Satz an Gewohnheiten verfügen, um die Liste der Unterauftragsverarbeiter jedes Anbieters aktuell zu halten.
- sehen, wie Sie einen Prüfpfad aufbauen, der standhält, wenn ein Kunde oder eine Aufsichtsbehörde nachfragt.
Was ein Unterauftragsverarbeiter tatsächlich ist
Ein Unterauftragsverarbeiter ist ein Dritter, den Ihr Auftragsverarbeiter heranzieht, um in Ihrem Auftrag bei der Verarbeitung personenbezogener Daten zu helfen. Wenn Ihr CRM-Anbieter bei einem Cloud-Anbieter hostet und einen separaten E-Mail-Versanddienst nutzt, sind beide Unterauftragsverarbeiter Ihrer Daten. Möglicherweise haben Sie nie etwas mit ihnen unterzeichnet, möglicherweise haben Sie nie ihre Namen gehört, und dennoch fließen die personenbezogenen Daten Ihrer Kunden durch ihre Systeme.
Artikel 28 DSGVO legt die Bedingungen fest. Ihr Auftragsverarbeiter muss Ihre Genehmigung einholen, bevor er einen Unterauftragsverarbeiter heranzieht, gleichwertige Datenschutzbestimmungen an diese Partei weitergeben und Ihnen gegenüber für deren Handeln haftbar bleiben. Bei diesem letzten Punkt lohnt es sich zu verweilen. Die Verantwortungskette führt zu Ihnen als Verantwortlichem zurück, sodass ein schwaches Glied drei Anbieter weiter unten in der Kette immer noch Ihr Problem ist, wenn etwas schiefgeht. Das ist dieselbe Logik, die einen großen Teil des Lieferanten-Vertragsmanagements antreibt: Die Beziehung endet nicht mit der Unterschrift, sie erstreckt sich über alle, auf die sich Ihre Gegenpartei stützt.
Das Benachrichtigungs- und Widerspruchsmodell
Die meisten AVV regeln die Genehmigung über eine sogenannte allgemeine Genehmigung. Anstatt für jeden neuen Unterauftragsverarbeiter einzeln um Ihre Erlaubnis zu bitten (was im großen Maßstab nicht praktikabel wäre), führt der Auftragsverarbeiter eine Liste der Unterauftragsverarbeiter und verpflichtet sich, Sie über Ergänzungen oder Austausch zu benachrichtigen. Sie erhalten dann ein Zeitfenster, häufig 14 bis 30 Tage, um Widerspruch einzulegen, bevor die Änderung wirksam wird.
Dieses Zeitfenster ist das gesamte Spiel. Wenn Sie es nicht im Blick behalten, können Sie es nicht nutzen, und es gilt als Zustimmung dazu, dass eine neue Partei Ihre Daten verarbeitet. Die Verpflichtung ist real, aber der Mechanismus lässt sich leicht übersehen, weil die Benachrichtigung selten mit großem Aufhebens eintrifft. Sie werden das wiedererkennen: Sie kommt als Routine-E-Mail, als Fußzeile in einem Produkt-Update oder als Changelog-Eintrag auf einer Statusseite an, die niemand in Ihrem Team beobachtet. Bis es jemand bemerkt, hat sich das Zeitfenster geschlossen, und der neue Unterauftragsverarbeiter ist bereits aktiv.
Was können Sie innerhalb dieses Zeitfensters tatsächlich tun? In der Praxis ein paar Dinge:
- die Änderung akzeptieren und festhalten, dass Sie sie geprüft und akzeptiert haben.
- aus berechtigten Gründen Widerspruch einlegen, was in der Regel ein Gespräch mit dem Anbieter über Alternativen eröffnet.
- intern eskalieren, wenn der neue Unterauftragsverarbeiter in einer Rechtsordnung ansässig ist oder eine Datenkategorie verarbeitet, die Ihre eigenen Prüfschwellen auslöst.
Es geht nicht darum, dass Sie oft Widerspruch einlegen werden. Die meiste Zeit werden Sie das nicht tun. Es geht darum, dass Sie sich das Widerspruchsrecht bewahren und nachweisen können, dass Sie jede Änderung berücksichtigt haben, anstatt sie schlafwandelnd zu durchlaufen.
Die Liste aktuell halten
Praktische Verwaltung von Unterauftragsverarbeitern läuft auf drei Gewohnheiten hinaus.
Wissen Sie erstens, wer heute für jeden Anbieter auf der Liste steht, und bewahren Sie sie an einem Ort auf, an dem Sie sie tatsächlich wiederfinden. Eine Momentaufnahme, die Sie vor zwei Jahren während der Beschaffung gespeichert haben, ist nicht die aktuelle Liste. Ich habe festgestellt, dass es hilft, die Aufstellung der Unterauftragsverarbeiter jedes Anbieters als lebendigen Datensatz zu behandeln, der dem AVV selbst beigefügt ist, und nicht als einmaligen Anhang, der in einem geteilten Laufwerk veraltet. Ein zentrales Vertragsarchiv ist die natürliche Heimat dafür, denn die Liste liegt direkt neben der Vereinbarung, die sie regelt.
Fangen Sie zweitens die Änderungsbenachrichtigungen ab und behandeln Sie jede einzelne als Entscheidung mit einer Frist und nicht als bloße Information. Das ist die Gewohnheit, die am häufigsten scheitert, weil die Benachrichtigungen darauf ausgelegt sind, für den Anbieter reibungsarm zu sein, und nicht darauf, für Sie gut sichtbar zu sein.
Führen Sie drittens einen Prüfpfad. Wie sah die Liste aus, wann hat sie sich geändert, wurden Sie rechtzeitig benachrichtigt, und haben Sie Widerspruch eingelegt? Wenn ein Sicherheitsfragebogen eines Kunden oder eine Anfrage einer Aufsichtsbehörde eintrifft, ist dieser Pfad Ihr Nachweis. Ohne ihn rekonstruieren Sie die Geschichte aus dem Gedächtnis und durch Postfach-Archäologie, und ich verspreche Ihnen, das ist ein schlechter Nachmittag.
Hier ist eine einfache Möglichkeit, sich vorzustellen, was jede Gewohnheit hervorbringt:
| Gewohnheit | Was Sie aufbewahren | Warum es wichtig ist |
|---|---|---|
| Die aktuelle Liste kennen | Eine datierte Aufstellung pro Anbieter | Beantwortet "Wer berührt unsere Daten gerade jetzt?" |
| Die Benachrichtigungen abfangen | Eine protokollierte Entscheidung pro Änderung | Bewahrt Ihr Widerspruchsrecht |
| Den Pfad führen | Eine Zeitleiste der Änderungen und Reaktionen | Nachweis für Kunden und Aufsichtsbehörden |
Die schwierigste der drei ist der Prüfpfad, weil Änderungen bei Unterauftragsverarbeitern über Monate hinweg stückweise bei vielen Anbietern eintreffen. Eine Benachrichtigung im März, zwei im Juli, ein stiller Austausch im Oktober. Jeden AVV, seine aktuelle Liste der Unterauftragsverarbeiter und das Fenster der Änderungsbenachrichtigung an einem Ort und mit dem Anbieter verknüpft zu halten, macht dies handhabbar statt überwältigend. Das ist ein großer Teil dessen, wofür die Verwaltung von Auftragsverarbeitungsverträgen gebaut wurde, und sie ist Teil unserer umfassenderen DSGVO-Compliance-Software für Teams, die das Gesamtbild und nicht nur ein einzelnes Dokument benötigen.
Wo sich die Extraktion auszahlt
Es gibt einen Schritt, den ich oben übersprungen habe und der einen eigenen Moment verdient. Wenn Sie einen neuen AVV unterzeichnen, sind die Bestimmungen zu Unterauftragsverarbeitern (die Kündigungsfrist, das Widerspruchsfenster, wo die Liste liegt, wie Änderungen kommuniziert werden) in dichten Klauseln vergraben, die Sie einmal lesen und nie wieder öffnen. Diese Details für jede Vereinbarung von Hand herauszuziehen, ist die Art von Arbeit, die in dem Moment depriorisiert wird, in dem etwas Dringenderes auftaucht.
Hier verändert die KI-Vertragsanalyse die Wirtschaftlichkeit. Anstatt dass eine Person Absatz 9.3 jedes AVV liest, um das Widerspruchsfenster zu finden, liest die Vertragsdatenextraktion ihn für Sie und stellt die Daten und Verpflichtungen als strukturierte Felder dar, die Sie überwachen können. Gerade für Compliance-Teams ist es dieser Wechsel vom manuellen Lesen zu extrahierten, nachverfolgbaren Daten, der ein Programm für Unterauftragsverarbeiter den Kontakt mit einem hektischen Quartal überstehen lässt. Wenn das Ihr Aufgabenbereich ist, zeigt der Anwendungsfall für Compliance-Verantwortliche, wie es in einen täglichen Arbeitsablauf passt.
Ein kurzes Wort zum Thema Vertrauen, denn es kommt jedes Mal auf, wenn Daten und KI im selben Satz auftauchen. Contracko wird in der EU gehostet, Ihre Verträge sind verschlüsselt, der Zugriff ist rollenbasiert, und wir trainieren keine KI mit Ihren Verträgen. Die Werkzeuge, die Ihre AVV lesen, speisen sie nicht klammheimlich in irgendein Modell ein. Mehr dazu lesen Sie auf unserer Sicherheitsseite.
Verpassen Sie das Widerspruchsfenster nicht
Der einzelne am leichtesten zu verpassende Punkt in all dem ist die Widerspruchsfrist. Alles andere (die Listen, der Pfad, die Analyse) unterstützt den einen Moment, in dem Untätigkeit Sie ein Recht kostet, das Sie nicht zurückbekommen. Sie können einer Änderung, die Sie nicht bemerkt haben, nicht widersprechen, und der Kalender erinnert Sie nicht von selbst daran.
Ein DSGVO-Erinnerungstool entnimmt einer Vereinbarung die Änderungsfenster für Unterauftragsverarbeiter (neben Überprüfungsterminen und Auditrechten) und verwandelt sie in Erinnerungen, sodass Ihnen ein neuer Unterauftragsverarbeiter niemals entgeht, während das Widerspruchsfenster noch offen ist. Das ist der Unterschied zwischen dem Verwalten Ihrer Unterauftragsverarbeiter und dem Entdecken im Nachhinein. Wenn Sie sehen möchten, wie sich dieses Denken über den Rest des Vertragsrisikos erstreckt, behandelt unser Beitrag zu den häufigen Risiken im Vertragsmanagement das größere Muster.
Nächste Schritte
Wenn Ihre Listen der Unterauftragsverarbeiter derzeit in einer Mischung aus Postfächern, Screenshots und guten Vorsätzen leben, fangen Sie klein an. Wählen Sie Ihre drei risikoreichsten Anbieter aus, finden Sie ihre aktuellen Listen der Unterauftragsverarbeiter und notieren Sie für jeden das Widerspruchsfenster. Allein das wird Ihnen verraten, ob Sie die Benachrichtigungen abgefangen oder stillschweigend Änderungen akzeptiert haben, die Sie nie gesehen haben.
Wenn Sie bereit sind, es systematisch statt heldenhaft anzugehen, ist genau das der Grund, warum wir Contracko gebaut haben. Ich würde wirklich gern hören, wie Sie heute mit Benachrichtigungen zu Unterauftragsverarbeitern umgehen, denn keine zwei Programme machen es ganz auf dieselbe Weise. Melden Sie sich gern, wenn Sie Fragen haben, ich lese und beantworte jede Nachricht selbst.
Legen Sie mit Contracko los
Nehmen Sie sich den Stress aus dem Vertrags- und Abonnementmanagement. Mit Contracko bleiben Sie organisiert, pünktlich und in Kontrolle. Beginnen Sie noch heute mit der Vereinfachung.