Zurück zum Blog
    Datensicherheit21. Juli 2026

    Dienstleister kontrollieren: Was die Aufsichtsbehörden erwarten

    Dienstleister kontrollieren: Was die Aufsichtsbehörden erwarten

    Die meisten Unternehmen nutzen zahlreiche externe Dienstleister, um Prozesse und Daten auszulagern und so effizienter arbeiten zu können. Verarbeiten diese Dienstleistern personenbezogene Daten, nennt sie die DSGVO Auftragsverarbeiter. Unternehmen müssen die Datensicherheit dieser Dienstleister kontrollieren, denn dazu sind sie gesetzlich verpflichtet.

    Warum müssen Unternehmen ihre Dienstleister kontrollieren?

    Der Hauptgrund ist einfach: weil sie gesetzlich dazu verpflichtet sind (Art. 28 Abs. 1 DSGVO). Unternehmen sind für ihre Datenverarbeitungen verantwortlich und müssen gewährleisten, dass ihre Dienstleister dieselben datenschutzrechtlichen Standards erfüllen.

    Erfüllt man diese Kontrollpflicht nicht, können Aufsichtsbehörden Bußgelder verhängen. Mangelnde Dienstleisterkontrollen wurden in den ersten Jahren der DSGVO wenig beanstandet. Nun rücken sie langsam in den Fokus der Aufsichtsbehörden. Der BfDI führte 2025 über 80 Vor-Ort-Kontrollen und 40 schriftliche Audits durch. Vodafone beispielsweise wurde mit 15 Millionen Euro Bußgeld belegt, weil Partneragenturen als Auftragsverarbeiter nicht ausreichend kontrolliert wurden. Darüber hinaus müssen Unternehmen ihre Dienstleister kontrollieren, um bestimmte Zertifizierungen, z.B. ISO 27001 oder TISAX, erhalten zu können.

    Die Kontrollen dienen auch dem eigenen Interesse jedes Unternehmens. Denn kommt es bei Auftragsverarbeitern zu einer Datenpanne, haftet in der Regel auch das beauftragende Unternehmen. Die Folgen reichen von Bußgeldern über Schadensersatzforderungen betroffener Personen bis hin zu Reputationsschäden.

    Wann und wie aufwändig muss geprüft werden?

    Die Pflicht zur Dienstleisterkontrolle beginnt schon bei der Auswahl des Dienstleisters und endet erst mit Beendigung der Zusammenarbeit. Genauere gesetzliche Vorgaben für die Zeitpunkte der Kontrollen gibt es jedoch nicht.

    • Vor dem Einsatz: Wichtig ist, Dienstleister bereits vor der Nutzung sorgfältig auszuwählen. Was hierbei zu beachten ist, haben wir bereits in [diesem Blogbeitrag] (https://sidit.de/blog/sorgfaeltige-datenschutzrechtliche-auswahl-dienstleistern) erläutert.
    • Anlassbezogen: Wenn Datenschutzvorfälle oder datenschutzrechtliche Mängel bei einem Dienstleister bekannt werden, kann das ebenfalls einen punktuellen Anlass für eine Kontrolle darstellen.
    • Regelmäßig: Abgesehen davon kann man keine pauschalen Aussagen zu Prüfungszeiträumen treffen, jedoch wird auf jeden Fall eine „regelmäßige“ Prüfung verlangt.

    Die Aufsichtsbehörden bestätigen zunehmend den von vielen Unternehmen schon gelebten risikobasierten Ansatz. Hierbei klassifiziert man das Risiko der Auftragsverarbeitung und orientiert daran den Prüfzyklus sowie den Prüfungsumfang, d.h. umso riskanter die Datenverarbeitung ist, desto höher ist der Kontrollbedarf. Denn alle Dienstleister gleich häufig und mit derselben Sorgfalt zu prüfen, ist Unternehmen weder zumutbar noch wirtschaftlich.

    Wie kann man die Dienstleister klassifizieren?

    Die Risiko-Klassifizierung hängt von mehreren Faktoren ab, insbesondere:

    • Menge der verarbeiteten personenbezogenen Daten,
    • Sensibilität der verarbeiteten Daten,
    • Ort der Verarbeitung (EU/EWR vs. Nicht-EU/EWR),
    • Art der Verarbeitung,
    • Einsatz von KI,
    • Technische und Organisatorische Maßnahmen des Dienstleisters (TOM)

    Beispiele für hohes Risiko:

    • IT-Dienstleister mit Zugriff auf Gesundheitsdaten tausender Patienten
    • Große Cloud-Anbieter mit Sitz in den USA, wenn der Großteil der personenbezogenen Daten von diesen verarbeitet werden
    • Tools mit KI-Funktionen und Drittlandtransfer

    Beispiele für mittleres Risiko:

    • Lohnbuchhaltung
    • Personalsoftware
    • Große Cloud-Anbieter mit Sitz und Verarbeitungsort in EU/EWR, wenn der Großteil der personenbezogenen Daten darauf verarbeitet werden

    Beispiele für geringes Risiko:

    • Software für den Newsletter-Versand bei KMUs
    • Online-Terminbuchungstools, die nur Name und E-Mail-Adressen verarbeiten

    Wie muss geprüft werden und was genau prüft man eigentlich?

    In der Unternehmenspraxis werden die Nachweise oft über Zertifikatsprüfungen, Testate, Fragebögen und unabhängige Audits erbracht. Eine der bekanntesten Zertifizierungen ist die ISO 27001, die Informationssicherheitsmanagementsysteme (ISMS) zertifiziert. Daneben können Testate, in denen eine sachkundige Stelle (bspw. DSB) die Einhaltung der datenschutzrechtlichen Anforderungen bescheinigt, nützlich sein. Weitere Wege zur Kontrolle von Dienstleister sind die Übersendung von Fragebögen und Anforderungen von Unterlagen zur Überprüfung oder aber die Beauftragung eines unabhängigen Auditors. Vor-Ort-Kontrollen beim Dienstleister stellen eher die Ausnahme dar. Neben dem hohen organisatorischen Aufwand fallen hier in der Regel hohe Kosten an. Diese hohen Kosten stehen in der Regel nicht im Verhältnis zum Nutzen.

    Fazit

    Die Kontrolle von Auftragsverarbeitern ist Pflicht und sie rückt bei den Aufsichtsbehörden zunehmend in den Fokus. Niemand verlangt jedoch, dass Sie jeden Dienstleister jährlich vor Ort prüfen. Entscheidend ist ein nachvollziehbares System. Wählen Sie Ihre Dienstleister sorgfältig aus, stufen Sie sie nach Risiko ein und prüfen Sie die risikoreichen häufiger und gründlicher. Bei den übrigen genügen verhältnismäßige Nachweise wie Zertifikate, Testate oder Fragebögen. Wer seine Prüfungen am Risiko ausrichtet und alles dokumentiert, erfüllt seine gesetzlichen Pflichten, ohne den Betrieb mit unnötigem Aufwand zu belasten.

    Gerne unterstützen wir als Datenschutzbeauftragte Sie dabei, den passenden Prüfumfang für jeden Dienstleister festzulegen. Kontaktieren Sie uns bei Fragen unter info@sidit.de oder 0931-7808770.

    Haben Sie Fragen zu diesem Thema?

    Jetzt Kontakt aufnehmen

    Verwandte Beiträge

    Sorgfältige datenschutzrechtliche Auswahl von Dienstleistern nach DSGVO
    Datensicherheit7. Juli 2026

    Sorgfältige datenschutzrechtliche Auswahl von Dienstleistern nach DSGVO

    Die sorgfältige Auswahl von Dienstleistern ist eine Kernpflicht nach DSGVO, wird in der Praxis aber häufig unterschätzt. Wie man Dienstleister pragmatisch, rechtssicher und mit realistischem Aufwand auswählt, prüft und dokumentiert.

    Weiterlesen
    Ein gesundes Maß an Paranoia im Datenschutz
    Datensicherheit21. Nov. 2025

    Ein gesundes Maß an Paranoia im Datenschutz

    96 % der befragten Unternehmen sehen durch Datenschutz deutlich größere Einsparungen als Kosten. Wer Risiken antizipiert, spart am Ende.

    Weiterlesen
    Das Need-to-know-Prinzip: Datenschutz durch Berechtigungskonzepte
    Datensicherheit15. März 2022

    Das Need-to-know-Prinzip: Datenschutz durch Berechtigungskonzepte

    Das Need-to-know-Prinzip ist entscheidend für den Datenschutz in Unternehmen. Erfahren Sie, wie Sie unberechtigte Zugriffe verhindern und ein effektives Berechtigungskonzept implementieren.

    Weiterlesen