Subunternehmerliste

Auch: Liste der Unterauftragsverarbeiter · Subprozessorenliste

Die Subunternehmerliste ist eine dokumentierte Aufstellung aller Unterauftragsverarbeiter, die ein Auftragsverarbeiter (z. B. ein Softwareanbieter) zur Erbringung seiner Dienstleistung für den Verantwortlichen (den Makler) einsetzt. Sie schafft Transparenz darüber, wer außer dem direkten Vertragspartner noch Zugriff auf personenbezogene Daten hat.

Ausführliche Erklärung

Für Makler ist die Subunternehmerliste vor allem im Zusammenhang mit dem Auftragsverarbeitungsvertrag (AVV) relevant, den sie mit Dienstleistern wie CRM-Anbietern, Portalen, Cloud-Speichern oder Marketing-Tools abschließen.

Wesentliche Aspekte:

  • Offenlegungspflicht des Auftragsverarbeiters: Nach Art. 28 Abs. 2 DSGVO darf ein Auftragsverarbeiter nur mit vorheriger schriftlicher Genehmigung des Verantwortlichen weitere Unterauftragsverarbeiter (Sub-Processor) einsetzen. Diese Genehmigung erfolgt in der Praxis meist als allgemeine Genehmigung, verbunden mit einer laufend aktualisierten Subunternehmerliste, über deren Änderungen der Verantwortliche informiert werden muss (mit Widerspruchsrecht).
  • Inhalt der Liste: Name und Anschrift des Subunternehmers, Art der Verarbeitung, Verarbeitungsort (wichtig bei Drittlandbezug), ggf. Verweis auf eigene Datenschutzgarantien (z. B. SCC).
  • Praxisrelevanz für Makler: Beim Abschluss von Software-Verträgen sollte der Makler prüfen, ob der Anbieter eine solche Liste transparent bereitstellt (häufig im Kundenportal oder als Anhang zum AVV) und ob dort Server-Standorte außerhalb der EU auftauchen – das löst zusätzliche Prüfpflichten aus.
  • Kettenverantwortung: Jeder Unterauftragsverarbeiter muss seinerseits die gleichen Datenschutzpflichten vertraglich auferlegt bekommen wie der Hauptauftragsverarbeiter ("Weiterreichungspflicht", Art. 28 Abs. 4 DSGVO). Der Verantwortliche bleibt jedoch immer selbst verantwortlich und haftbar gegenüber Betroffenen und Aufsichtsbehörde.
  • Kontrollrecht: Der Makler als Verantwortlicher hat das Recht, die Einhaltung der Vorgaben zu prüfen – in der Praxis meist über Selbstauskünfte, Zertifikate (z. B. ISO 27001) oder Audit-Klauseln im AVV.

Beispiel aus der Praxis

Ein Immobilienportal-Anbieter, mit dem ein Makler einen Auftragsverarbeitungsvertrag geschlossen hat, nutzt für den E-Mail-Versand einen externen Dienstleister mit Servern in Irland. Diesen Sub-Processor führt der Anbieter in seiner öffentlich einsehbaren Subunternehmerliste auf. Ändert sich der Dienstleister, informiert der Anbieter seine Kunden vorab und räumt ihnen ein Widerspruchsrecht ein.

Rechtsgrundlage

  • Art. 28 Abs. 2 DSGVO – Genehmigungspflicht für den Einsatz weiterer Auftragsverarbeiter.
  • Art. 28 Abs. 4 DSGVO – Pflicht, dieselben Datenschutzverpflichtungen an Unterauftragsverarbeiter weiterzugeben.
  • Art. 28 Abs. 3 lit. d DSGVO – Informationspflichten und Widerspruchsrecht bei Änderungen der Subunternehmerliste.

Verwandte Begriffe