Rolle des Auftragsverarbeiters

Verarbeitung im Auftrag des Verantwortlichen

Der Auftragsverarbeiter verarbeitet personenbezogene Daten nicht für eigene Zwecke, sondern ausschließlich für Rechnung und auf Weisung des Verantwortlichen. Dieser Grundsatz bildet den rechtlichen Anker der Rolle des Auftragsverarbeiters nach der Datenschutz-Grundverordnung. Der Verantwortliche bestimmt, warum personenbezogene Daten verarbeitet werden, zu welchem Zweck dies geschieht und innerhalb welches wesentlichen Rahmens die Verarbeitung stattfindet. Der Auftragsverarbeiter führt demgegenüber die tatsächlichen Handlungen aus, die zur Durchführung dieser Verarbeitung erforderlich sind, etwa Hosting, Speicherung, Wartung, technische Unterstützung, administrative Verarbeitung, Sicherheitsüberwachung, Backup-Verwaltung oder Plattformdienste. Diese Rollenverteilung ist keine Formalität, sondern bestimmt die gesamte Zuweisung von Verantwortlichkeiten innerhalb der Datenverarbeitungskette. Verwendet der Auftragsverarbeiter personenbezogene Daten für eigene kommerzielle Zwecke, eigene Analysen, Produktentwicklung außerhalb der vereinbarten Dienstleistung oder zur Wiederverwendung zugunsten anderer Kunden, entsteht unmittelbar ein Spannungsverhältnis zur Qualifikation als Auftragsverarbeiter. Der Kern der Verarbeitung im Auftrag liegt daher in funktionaler Unterordnung: Der Auftragsverarbeiter darf innerhalb der Grenzen des Auftrags handeln, nicht jedoch über den Zweck hinaus, zu dem die Daten bereitgestellt wurden.

Bei komplexen digitalen Dienstleistungen wird diese Abgrenzung zunehmend verletzlich. Viele Auftragsverarbeiter bieten standardisierte Plattformen an, bei denen technische Konfiguration, Sicherheitseinstellungen, Speicherorte und operative Prozesse weitgehend durch den Dienstleister bestimmt werden. Der Verantwortliche kann daher formal Weisungen erteilen, während der tatsächliche Handlungsspielraum in erheblichem Maße durch Standardbedingungen, technische Beschränkungen und vertragliche Module des Anbieters geprägt wird. Diese Realität mindert die Bedeutung der Einordnung als Auftragsverarbeiter nicht, verlangt aber eine strengere Prüfung. Verarbeitung im Auftrag setzt voraus, dass vorab festgelegt wird, welche Verarbeitungsvorgänge stattfinden, welche Datenkategorien betroffen sind, welche betroffenen Personen erfasst werden, welche Systeme genutzt werden, welche Zugriffsmöglichkeiten bestehen und welche Grenzen für Nutzung, Speicherung, Übermittlung und Löschung gelten. Ohne diesen Konkretisierungsgrad kann sich die Auftragsbeziehung leicht in ein diffuses Abhängigkeitsverhältnis verwandeln, in dem der Verantwortliche nur unzureichende Sicht auf die tatsächliche Behandlung personenbezogener Daten hat. Im Rahmen des Integrierten Risikomanagements digitaler Kriminalität ist dies problematisch, weil Unsicherheit über Auftrag, Zugriff und Zweckbindung das Risiko unkontrollierter Datenflüsse, schwacher Sicherheitsentscheidungen und unzureichender Erkennung von Risiken digitaler Kriminalität erhöht.

Ein sorgfältig ausgestaltetes Auftragsverarbeitungsverhältnis beginnt daher mit einer inhaltlichen Bewertung der Dienstleistung, bevor personenbezogene Daten verarbeitet werden. Der Verantwortliche muss feststellen können, ob die Verarbeitung für den beabsichtigten Zweck tatsächlich erforderlich ist, ob der Auftragsverarbeiter ausschließlich innerhalb dieses Zwecks handeln wird und ob die Dienstleistung hinreichend transparent ist, um Kontrolle zu ermöglichen. Dazu gehört eine klare Beschreibung von Art und Zweck der Verarbeitung, Dauer der Verarbeitung, Arten personenbezogener Daten, Kategorien betroffener Personen und Pflichten des Auftragsverarbeiters. Diese Angaben dürfen nicht auf einer allgemeinen Formulierungsebene verbleiben, weil generische Beschreibungen im Fall von Streitigkeiten, Vorfällen oder aufsichtsbehördlichen Fragen nur geringe Orientierung bieten. Die Auftragsbeziehung muss so konkret sein, dass sowohl rechtlich als auch operativ festgestellt werden kann, welche Handlungen zulässig sind und welche Handlungen außerhalb des Auftrags liegen. Auf diese Weise wird der Auftragsverarbeiter in eine breitere Struktur der Steuerung digitaler Kriminalität eingebettet, in der Auslagerung nicht zu Kontrollverlust führt, sondern zu kontrollierter Ausführung innerhalb klarer Grenzen. Der Auftragsverarbeiter kann eine technisch starke Position einnehmen, doch diese Position muss stets dem Auftrag des Verantwortlichen untergeordnet bleiben.

Bindung an dokumentierte Weisungen

Die Pflicht, ausschließlich auf Grundlage dokumentierter Weisungen zu handeln, gehört zu den wesentlichsten Garantien im Verhältnis zwischen Verantwortlichem und Auftragsverarbeiter. Weisungen bilden den rechtlichen und operativen Rahmen, innerhalb dessen der Auftragsverarbeiter personenbezogene Daten erheben, einsehen, speichern, verändern, schützen, übermitteln, löschen oder auf sonstige Weise verarbeiten darf. Ohne solche Weisungen fehlt die normative Begrenzung der Verarbeitung, und es entsteht das Risiko, dass der Auftragsverarbeiter selbst auslegt, welche Handlungen zulässig sind. Die Datenschutz-Grundverordnung verlangt deshalb mehr als mündliche Absprachen oder allgemeine Verweise auf die Dienstleistung. Weisungen müssen festgehalten, überprüfbar und hinreichend spezifisch auf die Art der Verarbeitung bezogen sein. Dabei geht es nicht nur um die Aufgaben des Auftragsverarbeiters, sondern auch um Beschränkungen: welche Daten nicht verwendet werden dürfen, welche Verarbeitungsvorgänge ausgeschlossen sind, welche Standorte untersagt sind, welche Zugriffsebenen gelten und welche Bedingungen bei Änderungen Anwendung finden. Dokumentierte Weisungen machen das Auftragsverarbeitungsverhältnis kontrollierbar und bilden ein wesentliches Beweismittel, wenn eine Aufsichtsbehörde, ein Gericht, eine betroffene Person oder eine interne Prüfung fragt, warum eine bestimmte Datenverarbeitung stattgefunden hat.

In digitalen Ketten gewinnt die Bedeutung dokumentierter Weisungen zusätzlich an Gewicht, weil Datenverarbeitung häufig über automatisierte Prozesse erfolgt, die nicht bei jeder einzelnen Ausführung gesondert bewertet werden. Eine Softwareplattform kann automatisch Protokolle erzeugen, Metadaten speichern, Backups erstellen, Nutzerverhalten analysieren, Sicherheitsmeldungen verarbeiten oder Daten in verschiedene Umgebungen replizieren. Solche Prozesse können funktional notwendig sein, müssen aber innerhalb des Auftragsrahmens liegen. Weisungen müssen daher nicht nur rechtliche Sprache enthalten, sondern auch die technische Realität abbilden. Es muss klar sein, wie Datenflüsse verlaufen, welche Systemhandlungen standardmäßig erfolgen, welche Entscheidungen konfigurierbar sind und welche Verarbeitung aus Sicherheit, Wartung, Fehlerbehebung oder Leistungsmanagement resultiert. Bleiben diese technischen Ebenen außer Sicht, kann ein Verantwortlicher formal Weisungen erteilt haben, während wesentliche Teile der tatsächlichen Verarbeitung nicht wirklich abgegrenzt sind. Im Rahmen des Integrierten Risikomanagements digitaler Kriminalität verdient dies besondere Aufmerksamkeit, weil Angreifer häufig technische Schwächen, unkontrollierte Zugriffspfade und unklare Systemrechte ausnutzen. Dokumentierte Weisungen sind daher nicht nur datenschutzrechtlich relevant, sondern auch ein Instrument der Steuerung digitaler Kriminalität.

Ein Auftragsverarbeiter muss außerdem in der Lage sein, Situationen zu erkennen, in denen eine Weisung unklar, widersprüchlich oder möglicherweise rechtswidrig ist. Der Auftragsverarbeiter ist kein unabhängiger Kontrolleur des Verantwortlichen, darf aber offenkundig datenschutzrechtswidrige Weisungen auch nicht blind ausführen. In einem belastbaren Auftragsverarbeitungsverhältnis wird deshalb festgelegt, wie Weisungen erteilt, geändert, bestätigt und dokumentiert werden, wer zur Erteilung von Weisungen befugt ist und wie eine Eskalation erfolgt, wenn eine Weisung rechtlich oder technisch problematisch ist. Diese Verfahrensebene verhindert, dass entscheidende Vorgaben in einzelnen E-Mails, informellen Supporttickets oder operativen Arbeitsabsprachen ohne leitungsbezogene Absicherung verschwinden. Insbesondere bei Incident Response, Migrationen, Systemänderungen, Datenexporten, Löschungsersuchen und Eilmaßnahmen ist es wesentlich, dass Weisungen schnell, klar und beweisfest sind. Der Wert von Weisungen liegt nicht nur in der vorherigen Abgrenzung, sondern auch in der nachträglichen nachweisbaren Rechenschaft. Ein Auftragsverarbeiter, der zeigen kann, dass Verarbeitung ausschließlich innerhalb schriftlich festgelegter Parameter erfolgt ist, stärkt die Position des Verantwortlichen und reduziert das Risiko, dass Auslagerung als unkontrollierte Übertragung tatsächlicher Macht über personenbezogene Daten angesehen wird.

Keine eigenständige Bestimmung der Zwecke

Der Auftragsverarbeiter bestimmt grundsätzlich nicht eigenständig die Zwecke und die wesentlichen Mittel der Verarbeitung. Dies unterscheidet ihn vom Verantwortlichen und bildet ein zentrales Element der Qualifikation nach der Datenschutz-Grundverordnung. Zweckbestimmung betrifft die Frage, warum personenbezogene Daten verarbeitet werden und welches Ergebnis mit der Verarbeitung erreicht werden soll. Wesentliche Mittel beziehen sich auf grundlegende Entscheidungen, etwa welche personenbezogenen Daten erforderlich sind, welche betroffenen Personen erfasst werden, wie lange Daten gespeichert werden, an wen Daten offengelegt werden und auf welcher Rechtsgrundlage die Verarbeitung erfolgt. Der Auftragsverarbeiter darf praktische oder technische Entscheidungen treffen, soweit diese in den Auftrag eingebettet sind; er darf jedoch nicht eigenständig die normative Richtung der Verarbeitung bestimmen. Nutzt ein Anbieter beispielsweise Kundendaten zum Aufbau eigener Profile, kombiniert Datensätze zur Verbesserung eigener Produkte, verwendet Daten für unabhängige Marketingzwecke oder entscheidet selbstständig, dass Daten länger gespeichert werden, als es der Auftrag erfordert, kann sich seine Rolle in Richtung eines Verantwortlichen verschieben. Eine solche Verschiebung kann erhebliche Folgen für Haftung, Transparenz, Vertragsgestaltung, Aufsicht und Betroffenenrechte haben.

In der Praxis ist die Unterscheidung zwischen technischem Entscheidungsspielraum und eigenständiger Zweckbestimmung häufig sensibel. Auftragsverarbeiter verfügen oft über spezialisiertes Fachwissen, das der Verantwortliche selbst nicht besitzt. Sie bestimmen, welche Sicherheitstechniken eingesetzt werden, wie Infrastruktur konfiguriert wird, wie Monitoring erfolgt, welche Backup-Strategie angewendet wird und wie Plattformfunktionen entwickelt werden. Dies macht sie nicht automatisch zu Verantwortlichen. Technische Fachkunde innerhalb eines Auftragsrahmens bleibt mit der Rolle des Auftragsverarbeiters vereinbar, solange die Verarbeitung dem vom Verantwortlichen bestimmten Zweck dient. Die Grenze wird überschritten, wenn der Auftragsverarbeiter personenbezogene Daten für ein eigenes Interesse nutzt, das für die vereinbarte Dienstleistung nicht erforderlich ist, oder wenn er faktisch über den Kern der Verarbeitung entscheidet. Im Rahmen des Integrierten Risikomanagements digitaler Kriminalität muss diese Grenze sorgfältig überwacht werden, weil Rollenunklarheit zu unklaren Verantwortlichkeiten bei Vorfällen, Verletzungen des Schutzes personenbezogener Daten, unbefugten Zugriffen, Übermittlungen und Datenmissbrauch führt. Rollenunklarheit stellt in digitalen Ketten einen eigenständigen Risikopunkt dar.

Verträge, Due Diligence und operative Governance müssen daher ausdrücklich untersuchen, welche Entscheidungen der Auftragsverarbeiter eigenständig trifft und welche Entscheidungen den Weisungen des Verantwortlichen unterliegen. Allgemeine Begriffe wie „Serviceverbesserung“, „Security Analytics“, „Plattformoptimierung“ oder „Nutzererkenntnisse“ können rechtlich problematisch sein, wenn unklar ist, ob personenbezogene Daten hierfür verwendet werden und aus welchem Grund. Auch Pseudonymisierung oder Aggregation beseitigen nicht automatisch jedes Risiko, insbesondere wenn Reidentifizierung oder Kombination mit anderen Datensätzen möglich bleibt. Der Verantwortliche muss beurteilen können, ob solche Formen der Verarbeitung noch innerhalb des Auftrags liegen oder gesonderte Rechtsgrundlagen, Transparenzpflichten und Rollenverteilungen erfordern. Ein Auftragsverarbeiter, der seine Rolle sauber hält, beschränkt die Nutzung personenbezogener Daten auf das für die Dienstleistung Erforderliche, legt zusätzliche Verarbeitungen gesondert zur Bewertung vor und unterlässt eigenständige Verwertung ohne klare Rechtsgrundlage. Dadurch wird verhindert, dass Auslagerung schrittweise in geteilte oder eigenständige Datenmacht übergeht. Für die Steuerung digitaler Kriminalität ist diese Klarheit von erheblicher Bedeutung, weil eindeutige Rollen bestimmen, wer handeln, melden, untersuchen, beheben und Rechenschaft ablegen muss, wenn personenbezogene Daten durch digitale Bedrohungen oder operative Fehler betroffen sind.

Pflicht zur Gewährleistung angemessener Sicherheit

Die Pflicht zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen gehört zu den gewichtigsten Verantwortlichkeiten des Auftragsverarbeiters. Der Auftragsverarbeiter befindet sich häufig näher an den tatsächlichen Systemen, Zugriffsrechten, Datenbanken, Schnittstellen, Protokollen, Cloud-Konfigurationen und Sicherheitsmaßnahmen als der Verantwortliche. Dadurch hat er unmittelbaren Einfluss darauf, ob personenbezogene Daten gegen Verlust, unbefugten Zugriff, Zerstörung, Veränderung, Exfiltration oder rechtswidrige Verarbeitung geschützt bleiben. Angemessene Sicherheit ist anhand von Risiko, Kontext, Stand der Technik, Implementierungskosten, Art der personenbezogenen Daten, Umfang der Verarbeitung und möglichen Folgen für betroffene Personen zu beurteilen. Eine allgemeine Zusicherung, die Sicherheit sei „angemessen“, genügt nicht. Der Auftragsverarbeiter muss konkret nachweisen können, welche Maßnahmen getroffen wurden, wie diese Maßnahmen aufrechterhalten werden, wie Schwachstellen verfolgt werden, wie Zugriff begrenzt wird, wie Protokollierung erfolgt und wie Wiederherstellung nach einem Vorfall organisiert ist. Sicherheit ist daher kein Anhang der Dienstleistung, sondern eine Kernvoraussetzung rechtmäßiger Verarbeitung.

Im Rahmen des Integrierten Risikomanagements digitaler Kriminalität erhält diese Sicherheitspflicht eine zusätzliche Dimension. Personenbezogene Daten sind häufig der Treibstoff digitaler Kriminalität. Zugangsdaten, Kopien von Ausweisdokumenten, Finanzdaten, Kontaktdaten, medizinische Informationen, Personalakten, Kundenprofile und Kommunikationsdaten können für Phishing, Identitätsbetrug, Erpressung, Ransomware, Social Engineering, Kontoübernahmen und gezielte Angriffe auf Organisationen oder Einzelpersonen genutzt werden. Ein Auftragsverarbeiter, der schwache Authentifizierung zulässt, unzureichende Segmentierung anwendet, Protokolle nicht überwacht, Patchmanagement vernachlässigt oder Unterauftragsverarbeiter unzureichend kontrolliert, erhöht nicht nur Datenschutzrisiken, sondern auch weitergehende Risiken digitaler Kriminalität. Angemessene Sicherheit muss daher als Kombination aus Prävention, Erkennung, Reaktion und Wiederherstellung verstanden werden. Prävention umfasst Maßnahmen wie Verschlüsselung, Zugriffsbeschränkung, Multifaktor-Authentifizierung, Datenminimierung, Härtung und sichere Konfiguration. Erkennung umfasst Monitoring, Protokollierung, Anomalieerkennung und Alarmierung. Reaktion umfasst Vorfallverfahren, Eskalation, Eindämmung und forensische Sicherung. Wiederherstellung umfasst Backups, Kontinuitätsmaßnahmen, Wiederherstellungstests und Auswertung.

Bei der Auswahl und Überwachung eines Auftragsverarbeiters muss der Verantwortliche daher inhaltlich prüfen, ob das Sicherheitsniveau zur Art der Verarbeitung passt. Zertifizierungen, Assurance-Berichte, Penetrationstests, Richtliniendokumente und Sicherheitserklärungen können relevant sein, dürfen aber nicht unkritisch als ausreichender Nachweis akzeptiert werden. Die zentrale Frage bleibt, ob die Maßnahmen der konkreten Verarbeitung entsprechen und ob der Auftragsverarbeiter in der Lage ist, Sicherheit während der gesamten Laufzeit der Dienstleistung aufrechtzuerhalten. Auch Änderungsmanagement ist dabei bedeutsam. Neue Funktionen, Migrationen, geänderte Unterauftragsverarbeiter, andere Speicherorte oder veränderte Zugriffsmodelle können das Risikoprofil wesentlich verändern. Die Pflicht zu angemessener Sicherheit ist daher dynamisch: Was heute vertretbar ist, kann morgen aufgrund neuer Bedrohungen, technischer Schwachstellen oder veränderter Datenflüsse unzureichend sein. Im Rahmen der Steuerung digitaler Kriminalität bedeutet dies, dass Sicherheit nicht auf vertragliche Garantien im Zeitpunkt der Unterzeichnung beschränkt bleiben darf. Kontinuierliche Bewertung, Berichterstattung, Vorfallanalyse und leitungsbezogene Nachverfolgung sind erforderlich, um zu verhindern, dass der Auftragsverarbeiter zum Schwachpunkt beim Schutz personenbezogener Daten wird.

Geheimhaltung und Vertraulichkeit

Geheimhaltung und Vertraulichkeit bilden eine grundlegende Schutzschicht in jedem Auftragsverarbeitungsverhältnis. Der Auftragsverarbeiter muss gewährleisten, dass Personen, die zum Zugriff auf personenbezogene Daten befugt sind, einer angemessenen Vertraulichkeitspflicht unterliegen. Diese Pflicht betrifft nicht nur festangestellte Mitarbeitende, sondern auch temporäre Kräfte, externe Spezialisten, Supportmitarbeiter, Administratoren, Entwickler, Berater und andere Personen, die über den Auftragsverarbeiter Zugang zu personenbezogenen Daten erhalten können. Vertraulichkeit ist mehr als eine Klausel in einem Arbeitsvertrag oder einem allgemeinen Verhaltenskodex. Sie betrifft eine tatsächliche Begrenzung von Zugriff, Kenntnisnahme und Nutzung. Nur Personen, die personenbezogene Daten zur Durchführung des Auftrags benötigen, dürfen Zugriff erhalten, und dieser Zugriff muss beschränkt, protokolliert und kontrolliert werden. Ohne solche Maßnahmen bleibt Vertraulichkeit eine rein dokumentarische Garantie. Die Datenschutz-Grundverordnung verlangt, dass Vertraulichkeit praktisch eingebettet wird, etwa durch Berechtigungsmanagement, rollenbasierte Zugriffe, Schulungen, Protokollierung, Zugriffsüberprüfungen sowie disziplinarische oder vertragliche Folgen bei Verstößen.

Die Bedeutung der Vertraulichkeit ist besonders hoch in digitalen Umgebungen, in denen Zugriff auf personenbezogene Daten aus der Ferne über Supportportale, Verwaltungstools, Schnittstellen oder Administratorkonten erfolgen kann. Ein Mitarbeiter eines Auftragsverarbeiters kann mitunter in kurzer Zeit Zugriff auf große Mengen sensibler Daten erhalten. Eine einzelne Schwäche bei Autorisierung, Personenprüfung oder Aufsicht kann daher erheblichen Schaden verursachen. Vertraulichkeit steht somit in unmittelbarem Zusammenhang mit Insider-Risiken, Verletzungen des Schutzes personenbezogener Daten, Social Engineering und Missbrauch administrativer Rechte. Im Rahmen des Integrierten Risikomanagements digitaler Kriminalität muss Geheimhaltung mit einer breiteren Steuerung digitaler Kriminalität verbunden werden. Das Risiko beschränkt sich nicht auf externe Angreifer, die in Systeme eindringen; auch interner oder halbinterner Zugriff kann missbraucht, erzwungen oder unzureichend überwacht werden. Dazu gehören unbefugte Einsichtnahme, rechtswidrige Exporte, Datenmanipulation, Verkauf von Informationen, nachlässige Behandlung von Kundendaten oder Missbrauch von Supportrechten. Eine ernsthafte Vertraulichkeitspflicht verlangt daher eine Kombination aus rechtlicher Bindung, organisatorischer Disziplin und technischer Beschränkung.

Der Auftragsverarbeiter muss nachweisen können, dass Vertraulichkeit innerhalb der eigenen Organisation und in der Kette der Unterauftragsverarbeiter gewährleistet ist. Das bedeutet, dass Vertraulichkeitspflichten vertraglich dokumentiert sein müssen, aber auch, dass Zugriffe auf personenbezogene Daten regelmäßig überprüft werden, das Ende eines Beschäftigungsverhältnisses rasch zum Entzug von Berechtigungen führt, privilegierter Zugriff streng verwaltet wird und außergewöhnliche Zugriffe protokolliert und bewertet werden. Auch Schulung spielt eine wichtige Rolle. Personen mit Zugriff auf personenbezogene Daten müssen verstehen, welche Daten verarbeitet werden, welche Beschränkungen gelten, wie Phishing und Social Engineering erkannt werden, wie Vorfälle zu melden sind und welche Folgen eine unbefugte Verarbeitung haben kann. Vertraulichkeit ist daher keine statische Pflicht, sondern ein aktiver Kontrollprozess. Ein Auftragsverarbeiter, der Vertraulichkeit ernst nimmt, beschränkt Zugriff auf das unbedingt Erforderliche, überwacht diesen Zugriff fortlaufend und schafft eine nachweisbare Kultur der Sorgfalt im Umgang mit personenbezogenen Daten. Dadurch wird das Auftragsverarbeitungsverhältnis nicht nur rechtlich gestärkt, sondern auch widerstandsfähiger gegenüber Risiken digitaler Kriminalität, die aus menschlichen Fehlern, internen Schwachstellen und dem Missbrauch operativer Befugnisse entstehen.

Einsatz von Unterauftragsverarbeitern unter Bedingungen

Der Einsatz von Unterauftragsverarbeitern gehört zu den sensibelsten Aspekten des Auftragsverarbeitungsverhältnisses, weil personenbezogene Daten dadurch nicht mehr ausschließlich innerhalb der unmittelbaren operativen Sphäre des primären Auftragsverarbeiters verbleiben. Jeder Unterauftragsverarbeiter fügt der Datenverarbeitungskette ein weiteres Glied hinzu und damit einen weiteren Punkt, an dem Vertraulichkeit, Verfügbarkeit, Integrität, Übermittlung, Sicherheit und Kontrolle beeinträchtigt werden können. Die Datenschutz-Grundverordnung verlangt deshalb, dass ein Auftragsverarbeiter nicht frei weitere Auftragsverarbeiter einsetzen darf, ohne dass eine vorherige Genehmigung vorliegt oder ein vertraglicher Rahmen besteht, der dasselbe Schutzniveau gewährleistet wie das ursprüngliche Auftragsverarbeitungsverhältnis. Diese Anforderung ist von grundlegender Bedeutung, weil der Verantwortliche nicht nachträglich mit einer tatsächlichen Kette von Lieferanten, Hosting-Anbietern, Supportdienstleistern, Infrastrukturpartnern oder ausländischen Konzerngesellschaften konfrontiert werden darf, über die zuvor keine Transparenz bestand. Der Einsatz von Unterauftragsverarbeitern verändert die Risikostruktur: Wo zunächst eine einzelne Vertragsbeziehung bestand, entsteht eine Kette, in der jedes Glied den Schutz personenbezogener Daten stärken oder schwächen kann.

In der Praxis ist Unterauftragsverarbeitung häufig in moderne digitale Dienstleistungen eingebettet. Cloud-Anbieter arbeiten mit Rechenzentren, Content-Delivery-Netzwerken, Supportstandorten, Sicherheitsanbietern, Analysekomponenten und Softwaremodulen Dritter. SaaS-Plattformen können auf externes Hosting, E-Mail-Anbieter, Protokollierungsdienste, Monitoring-Tools, Authentifizierungslösungen und Kundensupport-Dienstleister zurückgreifen. Dadurch kann ein scheinbar einfaches Auftragsverarbeitungsverhältnis tatsächlich auf einer internationalen und technisch vielschichtigen Kette beruhen. Im Rahmen des Integrierten Risikomanagements digitaler Kriminalität muss diese Kette sichtbar, bewertbar und vertraglich kontrollierbar sein. Relevant ist nicht nur die Identität des Unterauftragsverarbeiters, sondern auch die Funktion, die diese Partei erfüllt, die betroffenen Kategorien personenbezogener Daten, der Ort der Verarbeitung, die eingesetzten Sicherheitsmaßnahmen, etwaige Übermittlungen außerhalb des Europäischen Wirtschaftsraums, die Verfahren zur Meldung von Vorfällen sowie die Möglichkeiten zur Prüfung oder Verifizierung. Ohne diese Informationen kann der Verantwortliche nicht beurteilen, ob der Einsatz des Unterauftragsverarbeiters mit den eigenen Datenschutzpflichten und mit dem breiteren Rahmen der Steuerung digitaler Kriminalität vereinbar ist.

Eine sorgfältig formulierte Regelung zu Unterauftragsverarbeitern erfordert daher mehr als eine allgemeine Genehmigungsklausel in einem Standardvertrag. Erforderlich ist, dass der Verantwortliche vorab oder regelmäßig eine aktuelle Übersicht über Unterauftragsverarbeiter erhält, dass wesentliche Änderungen rechtzeitig angekündigt werden und dass ein Widerspruch möglich ist, wenn ein neuer Unterauftragsverarbeiter ein unannehmbares Risiko begründet. Der primäre Auftragsverarbeiter muss außerdem vertraglich sicherstellen, dass jeder Unterauftragsverarbeiter gleichwertigen Verpflichtungen in Bezug auf Sicherheit, Vertraulichkeit, Weisungen, Reaktion auf Vorfälle, Löschung, Übermittlungen und Zusammenarbeit unterliegt. Die Verantwortung für eine ordnungsgemäß kontrollierte Kette endet nicht mit der bloßen Weitergabe vertraglicher Bestimmungen. Ein Auftragsverarbeiter, der Unterauftragsverarbeiter einsetzt, muss nachweisen können, dass die Auswahl sorgfältig erfolgt ist, Risiken bewertet wurden, Schutzmaßnahmen überwacht werden und Mängel wirksam nachverfolgt werden können. Im Rahmen des Integrierten Risikomanagements digitaler Kriminalität ist dies wesentlich, weil sich Risiken digitaler Kriminalität häufig über das schwächste Glied einer Kette verwirklichen. Ein starker primärer Auftragsverarbeiter verliert erheblich an Wert, wenn ein unzureichend kontrollierter Unterauftragsverarbeiter ohne gleichwertige Garantien Zugriff auf personenbezogene Daten, Protokolldaten, Backups oder Verwaltungssysteme hat.

Unterstützung bei der Wahrnehmung von Betroffenenrechten

Der Auftragsverarbeiter spielt eine wichtige unterstützende Rolle bei der Wahrnehmung der Rechte betroffener Personen. Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch können formal an den Verantwortlichen gerichtet werden, ihre praktische Umsetzung hängt jedoch häufig von Systemen und Datenumgebungen ab, die vom Auftragsverarbeiter verwaltet werden. Werden personenbezogene Daten in Cloud-Systemen, Anwendungsdatenbanken, Backup-Umgebungen, Kundenportalen, Protokolldateien oder technischen Supportsystemen gespeichert, kann der Verantwortliche ein Ersuchen einer betroffenen Person ohne Mitwirkung des Auftragsverarbeiters nicht vollständig oder fristgerecht bearbeiten. Die Unterstützungspflicht des Auftragsverarbeiters ist daher nicht lediglich akzessorisch, sondern betrifft unmittelbar die praktische Wirksamkeit datenschutzrechtlicher Rechte. Ein Recht, das rechtlich besteht, technisch jedoch nicht innerhalb angemessener Frist umgesetzt werden kann, verliert einen erheblichen Teil seiner Bedeutung und kann zu Beschwerden, aufsichtsrechtlichen Risiken und Vertrauensverlust führen.

Diese Pflicht erfordert im Voraus eingerichtete Prozesse. Es genügt nicht, wenn ein Auftragsverarbeiter erst nach Eingang eines konkreten Ersuchens prüft, ob Daten lokalisiert, exportiert, berichtigt oder gelöscht werden können. Systeme, Prozesse und vertragliche Vereinbarungen müssen die Rechte betroffener Personen von Beginn an berücksichtigen. Das bedeutet, dass personenbezogene Daten auffindbar sein müssen, Datenkategorien hinreichend klassifiziert sein müssen, Exportfunktionen vorhanden sein müssen, Löschung technisch durchführbar sein muss, Einschränkungen angewendet werden können und klar sein muss, welche Daten sich in aktiven Systemen, Archiven, Backups, Protokollierungsumgebungen und Ketten von Unterauftragsverarbeitern befinden. Im Rahmen des Integrierten Risikomanagements digitaler Kriminalität ist diese Operationalisierung von erheblicher Bedeutung. Die Unfähigkeit, Daten rechtzeitig zu lokalisieren oder zu berichtigen, kann nicht nur zu einer Verletzung von Datenschutzrechten führen, sondern auch zu fehlerhaften Entscheidungen, Fehlidentifikationen, betrugsanfälligen Kundenprozessen, unberechtigten Warnmeldungen oder erhöhten Risiken digitaler Kriminalität. Datenqualität, Nachverfolgbarkeit und wirksame Rechtsausübung sind daher eng mit digitaler Integrität verbunden.

Der Auftragsverarbeitungsvertrag muss konkret regeln, wie die Unterstützung bei Betroffenenrechten erfolgt, innerhalb welcher Fristen der Auftragsverarbeiter zu reagieren hat, welche Kommunikationskanäle genutzt werden, welche Kosten gegebenenfalls berechnet werden können, wie die Identitätsprüfung behandelt wird und wie sichergestellt wird, dass der Auftragsverarbeiter keine inhaltlichen Entscheidungen trifft, die dem Verantwortlichen vorbehalten sind. Der Auftragsverarbeiter muss Unterstützung leisten, darf jedoch ohne Weisung nicht entscheiden, ob ein Ersuchen zu erfüllen oder abzulehnen ist, sofern nicht besondere vertragliche Vereinbarungen und rechtliche Parameter dies zulassen. Ebenso muss gewährleistet sein, dass Ersuchen, die unmittelbar beim Auftragsverarbeiter eingehen, unverzüglich weitergeleitet oder gemäß vorab festgelegten Weisungen behandelt werden. In einem ordnungsgemäß kontrollierten Rahmen wird jedes Ersuchen als Test von Datenqualität, Systemgestaltung und Rechenschaftspflicht verstanden. Ist eine Organisation von einem Auftragsverarbeiter abhängig, der keinen verlässlichen Export, keine gezielten Suchmöglichkeiten oder keine überprüfbare Löschung bereitstellen kann, entsteht eine strukturelle Schwachstelle. Im Rahmen des Integrierten Risikomanagements digitaler Kriminalität muss der Auftragsverarbeiter daher danach bewertet werden, in welchem Maße seine technische Dienstleistung tatsächlich zu Transparenz, Kontrollierbarkeit und rechtlichem Schutz beiträgt.

Mitwirkung bei Sicherheit, Vorfällen und Datenschutz-Folgenabschätzungen

Der Auftragsverarbeiter muss den Verantwortlichen bei der Erfüllung von Pflichten im Zusammenhang mit Sicherheit, Verletzungen des Schutzes personenbezogener Daten, Risikoanalysen und Datenschutz-Folgenabschätzungen unterstützen. Diese Mitwirkungspflicht folgt aus der Stellung des Auftragsverarbeiters als Partei, die häufig den unmittelbarsten Einblick in technische Umgebungen, Zugriffsprotokolle, Konfigurationen, Schwachstellen, Systemmeldungen, Supportaktivitäten und operative Vorfälle hat. Der Verantwortliche kann rechtlich verpflichtet sein, Sicherheitsmaßnahmen zu bewerten, Verletzungen des Schutzes personenbezogener Daten rechtzeitig zu melden oder eine Datenschutz-Folgenabschätzung durchzuführen; dafür benötigt er jedoch Informationen, die sich häufig beim Auftragsverarbeiter befinden. Ein Auftragsverarbeiter, der unzureichende oder verspätete Informationen liefert, kann den Verantwortlichen in eine Lage bringen, in der gesetzliche Fristen nicht eingehalten werden, Risiken nicht vollständig verstanden werden und Abhilfemaßnahmen nicht ausreichend begründet sind. Mitwirkung ist daher keine Frage der Höflichkeit, sondern eine notwendige Voraussetzung für rechtmäßiges, überprüfbares und wirksames Risikomanagement.

Bei Sicherheitsvorfällen ist Geschwindigkeit von besonderer Bedeutung. Eine Verletzung des Schutzes personenbezogener Daten oder ein Cybervorfall kann sich schneller entwickeln, als rechtliche Entscheidungsprozesse reagieren können. Ransomware, Diebstahl von Zugangsdaten, unbefugter Zugriff, Malware, Fehlkonfigurationen, API-Missbrauch oder Exfiltration können innerhalb kurzer Zeit erhebliche Folgen für betroffene Personen und Organisationen auslösen. Im Rahmen des Integrierten Risikomanagements digitaler Kriminalität muss deshalb im Voraus klar sein, welche Ereignisse als Vorfälle gelten, wann eine Eskalation verpflichtend ist, welche Informationen der Auftragsverarbeiter bereitstellen muss, welche forensischen Daten zu sichern sind, wer kommunikationsbefugt ist, welche Eindämmungsmaßnahmen gelten und wie Beweise gesichert werden. Dabei geht es nicht nur um die formale Meldung einer Verletzung des Schutzes personenbezogener Daten, sondern auch um die Qualität der tatsächlichen Rekonstruktion. Ohne Protokollierung, Zeitachsen, technische Analyse, Folgenabschätzung und Einblick in betroffene Datensätze kann der Verantwortliche nicht beurteilen, ob eine Meldung an die Aufsichtsbehörde oder an betroffene Personen erforderlich ist. Der Auftragsverarbeiter spielt daher eine entscheidende Rolle beim Übergang von einer technischen Störung zu einer rechtlichen Qualifikation.

Der Auftragsverarbeiter muss außerdem in der Lage sein, substantielle Informationen für Datenschutz-Folgenabschätzungen und breitere Risikoanalysen bereitzustellen. Kann eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten betroffener Personen mit sich bringen, kann eine Datenschutz-Folgenabschätzung erforderlich sein. Der Verantwortliche bleibt dafür primär verantwortlich, der Auftragsverarbeiter muss jedoch Informationen über Systemfunktionen, Sicherheitsmaßnahmen, Datenflüsse, Zugriffsmanagement, Aufbewahrungsfristen, Unterauftragsverarbeiter, Übermittlungen und technische Beschränkungen bereitstellen können. Diese Informationen müssen hinreichend konkret sein, um eine tatsächliche Risikobewertung zu ermöglichen. Allgemeine Compliance-Erklärungen oder Marketingunterlagen reichen hierfür nicht aus. Im Rahmen des Integrierten Risikomanagements digitaler Kriminalität ist die Datenschutz-Folgenabschätzung zudem als mehr zu verstehen als eine datenschutzrechtliche Formalität. Sie ist ein Instrument, um Risiken digitaler Kriminalität, Missbrauchsszenarien, Abhängigkeiten, Schwachstellen und Reaktionsfähigkeiten systematisch zu untersuchen. Der Auftragsverarbeiter darf sich daher nicht darauf beschränken, Fragen zu beantworten, sondern muss aktiv zum Verständnis der tatsächlichen Funktionsweise der Technologie beitragen. Ein Auftragsverarbeiter, der keine Transparenz über kritische Prozesse bietet oder keine angemessenen Informationen zu Vorfällen liefern kann, stellt ein Governance-Risiko dar, das bereits vor Vertragsschluss zu bewerten ist.

Löschung oder Rückgabe der Daten nach Beendigung der Dienstleistung

Nach Beendigung der Dienstleistungen muss der Auftragsverarbeiter personenbezogene Daten je nach Weisungen, vertraglichen Vereinbarungen und etwaigen gesetzlichen Aufbewahrungspflichten löschen oder an den Verantwortlichen zurückgeben. Diese Pflicht ist von großer Bedeutung, weil das Ende einer Dienstleistungsbeziehung nicht automatisch bedeutet, dass personenbezogene Daten tatsächlich aus den Systemen verschwinden. Daten können in Produktionsumgebungen, Backups, Archiven, Testumgebungen, Protokolldateien, Supporttickets, Replikaten, Exporten, temporären Speichern, Disaster-Recovery-Umgebungen oder Systemen von Unterauftragsverarbeitern verbleiben. Ohne klare Exit-Regelungen besteht das Risiko, dass personenbezogene Daten nach Beendigung der Beziehung weiterhin zugänglich, verwundbar oder rechtswidrig gespeichert bleiben. Die Beendigungsphase ist daher ein kritischer Moment im Lebenszyklus der Datenverarbeitung. Während Verträge häufig erhebliche Aufmerksamkeit auf den Beginn der Dienstleistungen richten, verlangt das Integrierte Risikomanagement digitaler Kriminalität auch eine präzise Regelung ihres Abschlusses.

Ein sorgfältiger Exit-Prozess muss im Voraus gestaltet werden und darf nicht erst improvisiert werden, wenn die Beziehung bereits unter Druck steht oder die Beendigung schon mitgeteilt wurde. Der Verantwortliche muss bestimmen können, ob personenbezogene Daten zurückgegeben werden, in welchem Format, innerhalb welcher Frist, über welchen sicheren Kanal, mit welcher Verifizierung und mit welchen Garantien zur Vollständigkeit. Wird Löschung verlangt, muss klar sein, welche Systeme betroffen sind, wie die Löschung durchgeführt wird, wie Unterauftragsverarbeiter einbezogen werden, wie Backups behandelt werden und wie nachgewiesen wird, dass die Daten für die gewöhnliche Verarbeitung nicht mehr verfügbar sind. Backups erfordern besondere Aufmerksamkeit, weil eine sofortige physische Löschung in bestimmten Fällen technisch komplex sein kann. In diesem Fall müssen Vereinbarungen über Isolierung, Ausschluss aktiver Nutzung, automatische Überschreibung, Aufbewahrungsfristen und Wiederherstellungsbeschränkungen bestehen. Ohne diese Präzision kann sich ein Auftragsverarbeiter auf technische Beschränkungen berufen, während personenbezogene Daten tatsächlich länger fortbestehen, als erforderlich oder zulässig ist.

Die Pflicht zur Löschung oder Rückgabe von Daten ist auch für die Steuerung digitaler Kriminalität relevant. Verbleibende Datensätze stellen attraktive Ziele für Angreifer dar, insbesondere wenn sie außerhalb aktiver Überwachung oder regulärer Sicherheitsprozesse liegen. Alte Exporte, Migrationsdateien, Backups oder Testkopien können sensible personenbezogene Daten enthalten, ohne dass der Organisation noch bewusst ist, dass diese Daten existieren. Dies erhöht das Risiko von Verletzungen des Schutzes personenbezogener Daten, Identitätsbetrug, unbefugtem Zugriff und Missbrauch. Im Rahmen des Integrierten Risikomanagements digitaler Kriminalität muss Datenspeicherung daher nicht nur als Frage von Aufbewahrungsfristen, sondern auch als Risikofrage betrachtet werden. Je länger personenbezogene Daten unnötig fortbestehen, desto größer wird die Angriffsfläche und desto schwieriger wird es, Kontrolle aufrechtzuerhalten. Ein Auftragsverarbeiter muss deshalb nachweisen können, dass die Beendigung der Beziehung zu einem kontrollierten Abschluss, einer sicheren Übertragung, einer nachweisbaren Löschung und dem Entzug von Zugriffsrechten führt. Eine klare Exit-Regelung schützt nicht nur die rechtliche Position des Verantwortlichen, sondern verhindert auch, dass ausgelagerte Datenverarbeitung nach Beendigung der Beziehung als verborgene Schwachstelle fortbesteht.

Nachweisbarkeit und Prüfungsbereitschaft

Nachweisbarkeit bildet die abschließende Sicherung der Pflichten des Auftragsverarbeiters. Ein Auftragsverarbeiter muss ausreichende Informationen zur Verfügung stellen, um die Einhaltung der Datenschutz-Grundverordnung und des Auftragsverarbeitungsvertrags überprüfen zu können. Diese Pflicht steht im Zusammenhang mit dem umfassenderen Grundsatz der Rechenschaftspflicht: Nicht nur die Einhaltung der Regeln ist erforderlich, sondern auch die Fähigkeit, diese Einhaltung überzeugend nachzuweisen. Für den Verantwortlichen ist dies wesentlich, weil die formale Verantwortung auch dann bestehen bleibt, wenn die Verarbeitung ausgelagert wurde. Ohne Zugang zu relevanten Informationen kann nicht festgestellt werden, ob der Auftragsverarbeiter Weisungen einhält, angemessene Sicherheit anwendet, Unterauftragsverarbeiter sorgfältig verwaltet, Vorfälle rechtzeitig meldet, bei Betroffenenrechten unterstützt und Daten nach Beendigung der Beziehung ordnungsgemäß löscht. Nachweisbarkeit ist daher keine verwaltungstechnische Nebensache, sondern eine Voraussetzung für leitungsbezogene Kontrolle und rechtliche Verteidigungsfähigkeit.

Prüfungsbereitschaft muss praktisch und verhältnismäßig ausgestaltet sein. Sie kann in Form periodischer Berichte, Zertifizierungen, Assurance-Erklärungen, Sicherheitsberichte, Ergebnisse von Penetrationstests, Informationen zu Datenschutz-Folgenabschätzungen, Übersichten über Unterauftragsverarbeiter, Vorfallberichte, Richtliniendokumente, technische Erklärungen oder gezielte Prüfungen erfolgen. Die genaue Form hängt von der Art der Verarbeitung, dem Risikoprofil, der Sensibilität der Daten und der Stellung des Auftragsverarbeiters ab. Eine groß angelegte oder risikoreiche Verarbeitung kann größere Tiefe erfordern als eine begrenzte administrative Unterstützung. Zugleich darf Prüfungsbereitschaft nicht durch zu weitgehende Beschränkungen, einseitiges Ermessen des Auftragsverarbeiters oder ausschließlich generische Dokumentation ausgehöhlt werden. Ein Prüfmechanismus muss den Verantwortlichen tatsächlich in die Lage versetzen, angemessene Sicherheit über die Einhaltung zu erlangen. Im Rahmen des Integrierten Risikomanagements digitaler Kriminalität darf sich Prüfungsinformation zudem nicht auf Datenschutzerklärungen beschränken, sondern muss Einblick in Risiken digitaler Kriminalität, Sicherheitsvorfälle, Zugriffsmanagement, Schwachstellen, Wiederherstellungsfähigkeit, Ketten von Unterauftragsverarbeitern und relevante operative Abhängigkeiten bieten.

Eine starke Prüfungs- und Rechenschaftsstruktur stärkt die gesamte Datenverarbeitungskette. Sie macht sichtbar, wo Risiken entstehen, welche Verbesserungsmaßnahmen erforderlich sind und welche vertraglichen Vereinbarungen nachgeschärft werden müssen. Ein Auftragsverarbeiter, der zu Transparenz, Überprüfung und korrigierender Nachverfolgung bereit ist, zeigt damit, dass Datenschutz nicht als bloße vertragliche Pflicht behandelt wird, sondern als Bestandteil professioneller digitaler Dienstleistung. Für den Verantwortlichen entsteht dadurch eine besser verteidigungsfähige Position gegenüber Aufsichtsbehörden, betroffenen Personen, Leitungsorganen, Kunden und anderen Stakeholdern. Mangelnde Prüfungsbereitschaft ist demgegenüber ein ernstes Warnsignal. Ein Auftragsverarbeiter, der keinen Einblick in Sicherheit, Unterauftragsverarbeiter, Vorfälle oder Compliance gewähren will, verlangt im Ergebnis Vertrauen ohne Kontrolle. In einem Umfeld zunehmender Risiken digitaler Kriminalität ist dies unzureichend. Im Rahmen des Integrierten Risikomanagements digitaler Kriminalität muss der Auftragsverarbeiter daher nicht nur weisungsgemäß verarbeiten, sondern auch nachweisen können, dass diese Verarbeitung rechtmäßig, sicher, kontrollierbar und über die gesamte Kette hinweg widerstandsfähig erfolgt.