数据处理协议中提及（过多）子处理器

fabiha01

订单处理协议（AV 协议或 AVV）中使用的分包商协议经常引起疑问。这尤其适用于来自第三国（即欧盟或欧洲经济区以外国家）的服务提供商。这些并不总是属于欧盟委员会的充分性决定（GDPR 第 45 条）。在这种情况下，必须提供其他（适当的）保证，以使向相关服务提供商的数据传输合法化，例如签订欧盟标准数据保护条款（GDPR 第 46（2）（c）条）并实施其中要求的传输影响评估（TIA）。

客户的观点
客户作为委托数据处理的控制者（GDPR 第 4 条第 7 款），在这种背景下面临风险：他通常会批准在 DPA 范围内使用分包商。这通常是通过与（第一）承包商商定使用的子处理器列表来完成的，其中合同通常仅包含指向（第一）承包商网站子页面的链接。客户的批准通常会导致有义务根据数据保护法检查所列出并因此获得批准的提供商。随着来自（不安全的）第三国的公司名单被点名越多，审查就会变得越复杂，如果列出的供应商甚至可能不会用于合同处理，审查就会变得更加严重。例如，许多处理器以以下方式工作：B. 使用一份分包商名单，这些分包商负责提供各种服务甚至独立的数据处理（例如，为公司自己的客户数据库提供软件）。对于客户来说，这通常会导致不必要的努力，新西兰商业传真列表 并且由于合同批准公司作为分包商而存在潜在的投诉风险。

承包商的观点
从承包商的角度来看，维护一个子处理器列表通常似乎是一个切实可行的解决方案。为不同的服务或订单处理类型提供不同的列表通常被认为太耗时且复杂。为了安全起见并涵盖所有相关的数据处理操作，一些处理器宁愿在列表中包含太多公司，而不是太少公司。在此组合中，列表还可以包括（如上所述）例如实际用于自行负责处理而不是委托特定服务的提供商。人们似乎常常忘记，这些公司作为分包商签订的合同协议会导致客户被告知——根据 DPA 中的必要规定（GDPR 第 28 条第 3 款第 2 句 d 项）——并且他们必须同意更改或至少有权反对（GDPR 第 28 条第 2 款）。值得注意的是，这也可能会影响个人负责的流程。

结论
原则上，双方（客户和承包商）就适合特定订单处理的分包商名单达成一致应该是有利的。应说明服务提供商的法律形式、地址和活动，以及对于来自第三国的公司，应说明适当的保障信息（根据第 44 条及以下条款），以确保足够的数据保护水平。