Dienstleister unter Kontrolle

Dienstleister unter Kontrolle – oder doch nicht? Was die DSGVO wirklich verlangt

Wer verarbeitet eigentlich Ihre Daten – und wie? Diese Frage sollte jedes Unternehmen beantworten können. Denn wer mit externen Dienstleistern zusammenarbeitet, trägt Verantwortung. Und die endet nicht mit einem Vertrag.

Was die DSGVO verlangt – und viele übersehen

Viele Unternehmen schließen mit ihren IT-Dienstleistern, Software-Anbietern oder Agenturen einen Auftragsverarbeitungsvertrag ab. Damit sei alles geregelt, glauben sie. Doch das stimmt nicht. Die DSGVO fordert mehr:

• Sorgfältige Auswahl: Der Dienstleister muss nachweislich geeignet sein, also technisch, organisatorisch und personell.

• Dokumentation: Warum genau wurde dieser Anbieter gewählt? Welche Garantien bietet er?

• Regelmäßige Kontrolle: Die DSGVO verlangt eine risikobasierte Überprüfung – nicht einmalig, sondern fortlaufend.

Was gehört zur Kontrolle?

Es reicht nicht, nur den Vertrag zu haben. Sie müssen aktiv prüfen:

• Werden die vereinbarten Maßnahmen wirklich umgesetzt?

• Gibt es Änderungen im Unternehmen des Dienstleisters – z. B. neue Subunternehmer?

• Werden personenbezogene Daten korrekt gelöscht, wenn der Vertrag endet?

Was ist mit Subdienstleistern?

Sub-Auftragsverarbeiter dürfen nicht einfach eingesetzt werden. Sie brauchen als Verantwortlicher eine klare Zustimmungsmöglichkeit – und auch hier gilt: prüfen, nicht nur zustimmen. Die Kette muss transparent und nachvollziehbar sein.

Datentransfer ins Ausland? Noch mehr Pflicht.

Wird ein Subunternehmer in einem Drittstaat beauftragt, müssen zusätzliche Vorgaben erfüllt sein. Ohne EU-Angemessenheitsbeschluss braucht es Standardvertragsklauseln und ein Transfer Impact Assessment (TIA). Auch das muss dokumentiert sein.

Was sagt die Aufsicht?

Der Europäische Datenschutzausschuss (EDSA) macht es klar: Verantwortliche können die Kontrolle nicht delegieren. Auch bei langen Subunternehmerketten bleibt die Prüfpflicht bestehen. Das Oberlandesgericht Dresden verlangt sogar eine schriftliche Löschbestätigung nach Vertragsende.

Fazit: Dienstleisterkontrolle ist Pflicht, nicht Kür

Verantwortliche müssen wissen:

• Wer verarbeitet welche Daten?

• Wie gut sind technische und organisatorische Maßnahmen umgesetzt?

• Was passiert mit den Daten nach Vertragsende?

Wer hier keine Kontrolle nachweisen kann, riskiert Bußgelder und Schadensersatz. Ein funktionierendes Dienstleistermanagement ist nicht optional – es ist zentraler Teil eines datenschutzkonformen Betriebs.

Praxistipp:
Erstellen Sie eine aktuelle Übersicht aller Auftragsverarbeiter samt Subdienstleistern. Prüfen Sie regelmäßig die Schutzmaßnahmen. Und dokumentieren Sie alles – verständlich und prüfbar.

Sie brauchen Unterstützung?
Sprechen Sie uns an. Wir helfen bei der Strukturierung und Umsetzung einer wirksamen Dienstleisterkontrolle.

Sind Sie sicher, dass Ihr Unternehmen oder Behörde im Hinblick auf Datenschutz und Datensicherheit optimal aufgestellt ist?

Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.

Kontakt aufnehmen

Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:

• Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
• Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
• Tragbarer Tresor für die Reise zum Schutz von Wertsachen
• Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
• Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
• Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
• Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
• Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen

Dieser Absatz enthält Affiliatelinks/Werbelinks