Verantwortlich dafür, dass die Datenschutzbestimmungen eingehalten werden, ist im Rahmen der Auftragsdatenverarbeitung stets der Auftraggeber. Das gilt gemäß Paragraf 3 Absatz 7 des Bundesdatenschutzgesetzes (BDSG) auch für den Fall, dass der Auftragnehmer einen Unterauftragnehmer ins Boot holt. Für Auftraggeber stellt sich dabei die Frage, wie sie in dieser Konstellation die Weisungs- und Kontrollrechte gegenüber dem Subunternehmer ausüben. Die Rechtsanwälte Dr. Bongers und Dr. Krupna haben dazu drei Modelle vorgestellt.
In einem Aufsatz in der Zeitschrift RDV (Heft 1, 2014, Seiten 19ff.) beleuchten sie das Durchgriffs-, das Stufen- und das Mehr-Auftraggeber-Modell mit Auftraggeber (A), Auftragnehmer (B) und dem Unterauftragnehmer (C). Die einfachste Option, allerdings nicht zu 100 Prozent deckungsgleich mit den Vorgaben des BDSG, ist das Durchgriffsmodell. Hierbei kontrolliert und führt ausschließlich der Auftraggeber den Unterauftragnehmer. Der Auftragnehmer selbst übt kein Weisungs- und Kontrollrecht bei C aus. Das Problem dieser Variante: B wird umgangen, obwohl das BDSG Auftragnehmern explizit die Möglichkeit einräumt, Unterauftragsverhältnisse mit entsprechenden Rechten zur Kontrolle und Weisung abzuschließen.
Dieses Problem besteht beim Stufenmodell nicht. A ist gegenüber B weisungsberechtigt, während B den Unterauftragnehmer führt und kontrolliert. Das macht den Auftraggeber zum sogenannten Überauftraggeber und den Auftragnehmer zum eigenständigen Auftraggeber von C. Dabei besteht kein Vertragsverhältnis zwischen A und C. Das heißt: A kann nur B kontrollieren und Weisungen aussprechen, auch im Hinblick auf die Kontrollen beim Unterauftragnehmer C.
Das dritte Modell, das Mehr-Auftraggeber-Modell, kombiniert die ersten beiden Optionen. Der Unterauftragnehmer C unterliegt sowohl den Kontrollen und Weisungen des Auftraggebers A als auch des Auftragnehmers B. Konflikte sind dabei ausgeschlossen, weil B die Kontroll- und Weisungsrechte nur so ausüben darf, wie von A vorgeschrieben. Diese Variante klingt einfach, ist vertraglich aber eher komplex. Einerseits, weil die Rechte von A im Vertrag zwischen B und C klar definiert werden müssen. Anderseits, weil die Transparenz gewahrt und jede Stelle mit Auftraggeberqualität benannt werden muss. Um sich nicht zu verheddern, sollte der Datenschutzbeauftragte rechtzeitig in die Planung eingebunden werden. Und zwar bei allen möglichen Vertragsmodellen zur Auftragsdatenverarbeitung.