Schutzniveau beim Subunternehmer

Selbstverständlich ist, dass auch der Vertrag des Cloud-Providers mit seinem Unterauftragnehmer den Vorgaben des §11 BDSG genügen muss, der zehn Mindestinhalte für einen solchen Vertrag auflistet. Klar ist weiterhin, dass bei der Unterbeauftragung die Vorgaben des übergeordneten Vertrages mit dem Kunden - auch und vor allem des sog. Auftragsdatenverarbeitungsvertrages - berücksichtigt werden müssen. Das bedeutet allerdings nicht, dass die datenschutzrechtlichen Vorgaben 1:1 weiterzugeben sind. Damit läuft der Kunde in ein Risiko. Viele Cloud-Provider stützen sich an diesem Punkt darauf, dass ihre Unterauftragnehmer (nur) ein insgesamt adäquates Schutzniveau aufweisen, nicht aber einen vollständig identischen Schutz gewährleisten müssen. Cloud-Kunden brauchen in dieser Situation folgende Rechte:

• Vereinbarung eines Einzelzustimmungsvorbehalts oder eines Ablehnungsrechts für die Einschaltung von Sub-Cloud-Providern;

• Verpflichtung des Vertragspartners zur Vorlage der vollständigen Sub-Cloud-Verträge.

Eigene Kontrollrechte des Kunden

Das schlichte "Kopieren" der Vertragspflichten in die Vereinbarung mit dem Sub-Cloud-Provider reicht allerdings nicht aus. Bei einer gestuften Auftragsdatenverarbeitung, wie sie in der Regel bei Cloud-Lieferketten vorliegt, halten es die Datenschutz-Aufsichtsbehörden für erforderlich, dass sich der Kunde eigene Kontrollrechte bei dem Subunternehmer vorbehält. Das gelte nach Ansicht der Behörden auch unabhängig vom geografischen Ort der unterbeauftragten Datenverarbeitung.

Cloud-Kunden sollten gegenüber ihrem Provider auf folgende Vertragsregelungen dringen:

• Verpflichtung des Cloud-Providers, seine Verträge mit seinen Unterauftragnehmern so zu gestalten, dass der Kunde beim Sub-Cloud-Provider unmittelbare, eigene Kontrollrechte besitzt;

• Ausgestaltung als so genannten echten Vertrag zugunsten Dritter, aus dem der Kunde deshalb selbst eigene, direkte vertragliche Rechte gegenüber dem Unterauftragnehmer herleiten kann.