Dienstleisterkontrolle nach DSGVO: Was Unternehmen beachten müssen

Viele Firmen vergeben Aufgaben an externe Dienstleister – etwa IT, Cloud-Hosting oder Marketing. Doch die DSGVO schreibt dafür klare Regeln vor. Die sogenannte Dienstleisterkontrolle sorgt dafür, dass personenbezogene Daten bei Dritten ebenso sicher verarbeitet werden wie im eigenen Betrieb.

1. Warum Dienstleisterkontrolle so wichtig ist
  • Verantwortung bleibt beim Auftraggeber: Auch wenn eine externe Firma Daten verarbeitet, haftet die beauftragende Organisation selbst.
  • Zweckbindung einhalten: Wenn sich die Art der Datenverarbeitung bei Dienstleistern ändert, muss die Verantwortung klar geprüft werden.
  • Gesetzliche Pflicht: Wer einen Auftragsverarbeiter wählt, muss nach Art. 28 DSGVO dessen Sicherheit und Datenschutzmaßnahmen kontrollieren – vor Vertragsabschluss und regelmäßig während der Laufzeit.

2. Auftragsverarbeitungsvertrag richtig gestalten

Ein rechtswirksamer Vertrag nach DSGVO muss enthalten:

  • Regelungen zur Datenrückgabe oder Löschung bei Vertragsende.
  • Zusatzerklärungen bei Datenübertragung in Drittstaaten: etwa Standardvertragsklauseln oder EU-Angemessenheitsbeschluss.
  • Unterschriften und alle Anlagen vollständig vorhanden.

Fehlen diese, haften sowohl Auftraggeber als auch Dienstleister gemeinsam.

3. Risiken erkennen & risikobasierte Kontrolle einführen
  • Dienstleisterliste führen: Erfasse alle externen Partner und Datenempfänger übersichtlich.
  • Risikobewertung einsetzen: Je nach Datenumfang und Sensibilität – etwa Gesundheitsdaten – entscheidet sich, wie intensiv die Kontrolle ausfällt.
  • Flexibel prüfen: Kleine Anbieter oder weniger sensible Daten benötigen weniger Prüfaufwand, bei Risikofällen sind umfangreiche Audits sinnvoll.

4. Kontrolle von Sub-Unternehmern (Kettenverarbeitung)
  • Auch Sub-Auftragsverarbeiter – also Unter-Dienstleister – müssen bekannt sein.
  • Die vertraglichen Datenschutzpflichten müssen auch entlang der Kette weitergegeben werden.
  • Ist unklar, ob alle Regelungen eingehalten werden, muss der Auftraggeber selbst aktiv prüfen. Eine pauschale Delegation reicht nicht.

5. Wie die Kontrolle genau funktioniert
  • Vorvertragliche Prüfung: Einholung von Fragebögen, Prüfzertifikaten oder Audit-Reports.
  • Regelmäßige Überprüfung: Mindestens einmal jährlich oder bei Veränderungen.
  • Proof of Compliance: IT-Audits, Prüfberichte, ISO-Zertifizierungen (z. B. ISO 27001), IDW PS 951 usw.
  • Kontrollen protokollieren: Jeder Prüf- und Audit-Schritt muss dokumentiert werden.

6. Wie oft dürfen Vor-Ort-Audits stattfinden?
  • Die DSGVO schreibt keine zwingende Pflicht für Vor-Ort-Prüfungen vor.
  • Jedoch dürfen keine vertraglichen Hindernisse bestehen, wenn solche Audits nötig werden.
  • Dritte wie Auditors dürfen eingebunden werden – allerdings darf die Kontrolle nicht vollständig delegiert werden.

7. Wer trägt die Kosten für Kontrollen?
  • Es ist unzulässig, das Kontrollrecht an Zahlung von Gebühren zu koppeln.
  • Die Kostenregelung muss fair sein, sie darf nicht als Hürde wirken.
  • Grundsätzlich gilt: Marktübliche Aufteilung, aber nicht auf Kosten der Compliance.

8. Technische und organisatorische Maßnahmen (TOM)
  • Dienstleister müssen nachweisen, dass sie geeignete technische und organisatorische Sicherheitsmaßnahmen eingerichtet haben.
  • Diese müssen am konkreten Anwendungsfall geprüft werden – was für Cloud-Dienste gilt, kann für andere Services irrelevant sein.
  • Vorhandene ISO-Zertifikate sind hilfreich – ersetzen aber keine individuelle Risikoanalyse.

9. Datenschutzmanagementsystem (DSMS) einbinden
  • Im Datenschutzmanagementsystem müssen alle Dienstleister, Prüfungen und Audits dokumentiert sein.
  • Verantwortlichkeiten, Abläufe und Kontrollprozesse müssen verbindlich festgelegt sein.
  • Dabei unterstützt die systematische Integration in bestehende ISMS-Strukturen.

10. Schritt-für-Schritt-Plan zur Umsetzung
Schritt Maßnahme
1 Alle Dienstleister erfassen und Datenempfänger benennen
2 Risikoanalyse durchführen (Art, Umfang, Sensibilität)
3 AVV abschließen – vollständig und rechtskonform
4 Technische Maßnahmen, Audits, Zertifikate vergleichen
5 Kontrollen dokumentieren und protokollieren
6 Regelmäßige Überprüfung planen und durchführen
7 Bei Sub-Auftragsverarbeitern aktiv prüfen
8 Faire Kostenzusagen vertraglich regeln
9 DSMS um diese Prozesse ergänzen
10 Mitarbeitende kontinuierlich schulen

Eine wirksame Dienstleisterkontrolle nach DSGVO bedeutet:

  • gezielte Auswahl: Dienstleister nur mit ausreichendem Datenschutz
  • regelmäßige Risikoprüfung: vor Vertrag und während der Partnerschaft
  • klare Verträge: AVV, Löschungen, Drittstaatenregelungen
  • nachhaltige Kontrolle: technische, organisatorische, vertragliche Überwachung
  • systematische Dokumentation: Compliance transparent nachweisen


Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!

Ihr Team von Datenschutz Prinz 


×
Bleiben Sie informiert!

Hier haben Sie die Möglichkeit, für alle Blog-Beiträge, die wir auf unserer Webseite veröffentlichen, Updates zu erhalten.

Damit verpassen Sie keine Neuigkeiten mehr in Sachen Datenschutz!

 
Sichere E-Mail- und Fax-Kommunikation in der Praxi...
Wettbewerbsvorteil durch DSGVO-Konformität – So we...

Um hier diese Inhalte zu sehen, stimmen Sie bitte zu, dass diese in die Webseite von https://www.datenschutz-prinz.de/ geladen werden.