Viele Firmen vergeben Aufgaben an externe Dienstleister – etwa IT, Cloud-Hosting oder Marketing. Doch die DSGVO schreibt dafür klare Regeln vor. Die sogenannte Dienstleisterkontrolle sorgt dafür, dass personenbezogene Daten bei Dritten ebenso sicher verarbeitet werden wie im eigenen Betrieb.
1. Warum Dienstleisterkontrolle so wichtig ist- Verantwortung bleibt beim Auftraggeber: Auch wenn eine externe Firma Daten verarbeitet, haftet die beauftragende Organisation selbst.
- Zweckbindung einhalten: Wenn sich die Art der Datenverarbeitung bei Dienstleistern ändert, muss die Verantwortung klar geprüft werden.
- Gesetzliche Pflicht: Wer einen Auftragsverarbeiter wählt, muss nach Art. 28 DSGVO dessen Sicherheit und Datenschutzmaßnahmen kontrollieren – vor Vertragsabschluss und regelmäßig während der Laufzeit.
Ein rechtswirksamer Vertrag nach DSGVO muss enthalten:
- Regelungen zur Datenrückgabe oder Löschung bei Vertragsende.
- Zusatzerklärungen bei Datenübertragung in Drittstaaten: etwa Standardvertragsklauseln oder EU-Angemessenheitsbeschluss.
- Unterschriften und alle Anlagen vollständig vorhanden.
Fehlen diese, haften sowohl Auftraggeber als auch Dienstleister gemeinsam.
3. Risiken erkennen & risikobasierte Kontrolle einführen- Dienstleisterliste führen: Erfasse alle externen Partner und Datenempfänger übersichtlich.
- Risikobewertung einsetzen: Je nach Datenumfang und Sensibilität – etwa Gesundheitsdaten – entscheidet sich, wie intensiv die Kontrolle ausfällt.
- Flexibel prüfen: Kleine Anbieter oder weniger sensible Daten benötigen weniger Prüfaufwand, bei Risikofällen sind umfangreiche Audits sinnvoll.
- Auch Sub-Auftragsverarbeiter – also Unter-Dienstleister – müssen bekannt sein.
- Die vertraglichen Datenschutzpflichten müssen auch entlang der Kette weitergegeben werden.
- Ist unklar, ob alle Regelungen eingehalten werden, muss der Auftraggeber selbst aktiv prüfen. Eine pauschale Delegation reicht nicht.
- Vorvertragliche Prüfung: Einholung von Fragebögen, Prüfzertifikaten oder Audit-Reports.
- Regelmäßige Überprüfung: Mindestens einmal jährlich oder bei Veränderungen.
- Proof of Compliance: IT-Audits, Prüfberichte, ISO-Zertifizierungen (z. B. ISO 27001), IDW PS 951 usw.
- Kontrollen protokollieren: Jeder Prüf- und Audit-Schritt muss dokumentiert werden.
- Die DSGVO schreibt keine zwingende Pflicht für Vor-Ort-Prüfungen vor.
- Jedoch dürfen keine vertraglichen Hindernisse bestehen, wenn solche Audits nötig werden.
- Dritte wie Auditors dürfen eingebunden werden – allerdings darf die Kontrolle nicht vollständig delegiert werden.
- Es ist unzulässig, das Kontrollrecht an Zahlung von Gebühren zu koppeln.
- Die Kostenregelung muss fair sein, sie darf nicht als Hürde wirken.
- Grundsätzlich gilt: Marktübliche Aufteilung, aber nicht auf Kosten der Compliance.
- Dienstleister müssen nachweisen, dass sie geeignete technische und organisatorische Sicherheitsmaßnahmen eingerichtet haben.
- Diese müssen am konkreten Anwendungsfall geprüft werden – was für Cloud-Dienste gilt, kann für andere Services irrelevant sein.
- Vorhandene ISO-Zertifikate sind hilfreich – ersetzen aber keine individuelle Risikoanalyse.
- Im Datenschutzmanagementsystem müssen alle Dienstleister, Prüfungen und Audits dokumentiert sein.
- Verantwortlichkeiten, Abläufe und Kontrollprozesse müssen verbindlich festgelegt sein.
- Dabei unterstützt die systematische Integration in bestehende ISMS-Strukturen.
| Schritt | Maßnahme |
|---|---|
| 1 | Alle Dienstleister erfassen und Datenempfänger benennen |
| 2 | Risikoanalyse durchführen (Art, Umfang, Sensibilität) |
| 3 | AVV abschließen – vollständig und rechtskonform |
| 4 | Technische Maßnahmen, Audits, Zertifikate vergleichen |
| 5 | Kontrollen dokumentieren und protokollieren |
| 6 | Regelmäßige Überprüfung planen und durchführen |
| 7 | Bei Sub-Auftragsverarbeitern aktiv prüfen |
| 8 | Faire Kostenzusagen vertraglich regeln |
| 9 | DSMS um diese Prozesse ergänzen |
| 10 | Mitarbeitende kontinuierlich schulen |
Eine wirksame Dienstleisterkontrolle nach DSGVO bedeutet:
- gezielte Auswahl: Dienstleister nur mit ausreichendem Datenschutz
- regelmäßige Risikoprüfung: vor Vertrag und während der Partnerschaft
- klare Verträge: AVV, Löschungen, Drittstaatenregelungen
- nachhaltige Kontrolle: technische, organisatorische, vertragliche Überwachung
- systematische Dokumentation: Compliance transparent nachweisen
Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!
Ihr Team von Datenschutz Prinz