Was ist unter „weiteren Auftragsverarbeitern“ im Sinne des Art. 28 Abs. 2 DSGVO zu verstehen? Sind das Dienstleister, die die erbrachte Kernleistung übernehmen oder jeder Lieferant einer Dienstleistung, der zur Erbringung einer Leistung notwendig ist?
Grundsätzlich erfasst Art. 28 Abs. 2 DSGVO in der Online-Marketing-Branche tatsächlich jeden Dienstleister, der personenbezogene Daten im Auftrage des Verantwortlichen verarbeitet.
Folgende Vorgehensweise empfiehlt ePrivacy im Umgang mit Auftragsverarbeitern:
- Zunächst einmal sollten alle Dienstleister ermitteln werden, um im nächsten Schritt festzustellen, welche Dienstleister davon personenbezogene Daten im Auftrage des Verantwortlichen verarbeiten.
- In der Regel sind das beispielsweise Hosting Dienstleister, Monitoring Dienstleister, evtl. auch technische Targetingsysteme, etc. Tatsächlich muss der Verantwortliche mit all diesen Unternehmen, die also im Auftrage personenbezogene Daten verarbeiten, Auftragsverarbeitungsverträge (AVVs) abschließen.
- Diese Dienstleister müssen in dem jeweiligen AVV mit ihrem Kunden streng betrachtet namentlich benannt werden. Nun tritt in der Online-Marketing-Branche das Problem auf, dass man sehr viele Kunden auf der einen Seite besitzt und zahlreiche Dienstleister auf der anderen Seite und dass es schlichtweg unpraktikabel ist, jedes Mal beim Austausch eines Dienstleisters eine Zustimmung aller Kunden einzuholen.
Es gibt deshalb mehrere Varianten für den Umgang mit dieser Herausforderung, die sich in der Praxis jetzt durchgesetzt haben:
a) Die „strenge Variante“: In einigen Fällen bestehen die Kunden tatsächlich auf die „strenge Variante“. D. h. sie wollen wirklich darüber informiert werden, wenn ein Dienstleister ausgetauscht wird und im jeweiligen Einzelfall muss eine Zustimmung eingeholt werden.
b) Die „mittlere Variante“: Die Dienstleister werden nicht im AVV namentlich benannt, es wird vielmehr im AVV ein Link auf eine Microsite eingefügt, auf der dann die jeweiligen Dienstleister namentlich erwähnt werden. Gleichzeitig wird im AVV der Text eingepflegt, dass im Falle des Austausches eines Dienstleisters der Verantwortliche durch eine Rundmail darüber informiert und dem Austausch des Dienstleisters zugestimmt wird, sollte nicht binnen 14 Werktagen nach Zugang dieser E-Mail ein Widerspruch erfolgen.
Der Kunde hat also immer eine Übersicht über den aktuellen Status der Dienstleister über die Microsite, er wird darüber hinaus per Rundmail informiert, wenn ein Dienstleister ausgetauscht wird und auch der Verantwortliche hat eine vergleichsweise praktikable Regelung. Wir empfehlen deshalb diese Variante.
c) Eine andere Variante besteht darin, dass nicht mit einer Microsite gearbeitet wird, sondern im AVV die Dienstleister erwähnt werden. Gleichzeitig findet sich in der entsprechenden Dienstleisterklausel ein Satz, der sinngemäß wie folgt lautet:
„Der Verantwortliche ist berechtigt, die in der Anlage näher benannten Dienstleister auszutauschen. Macht der Verantwortliche von dieser Möglichkeit Gebrauch, informiert der Verantwortliche in einer Rundmail die Kunden über den Austausch des Dienstleisters. Der Kunde hat die Möglichkeit, hiergegen binnen 14 Werktagen einen Widerspruch einzulegen. Erfolgt kein Widerspruch, gilt der Austausch des Dienstleisters als genehmigt.“
(Man verzichtet also auf eine Microsite, die Situation wird dadurch etwas unklarer und unüberschaubarer. Dennoch halten wir auch diese Lösung für vertretbar).