Die meisten Unternehmen nutzen zahlreiche externe Dienstleister, um Prozesse und Daten auszulagern und so effizienter arbeiten zu können. Verarbeiten diese Dienstleistern personenbezogene Daten, nennt sie die DSGVO Auftragsverarbeiter. Unternehmen müssen die Datensicherheit dieser Dienstleister kontrollieren, denn dazu sind sie gesetzlich verpflichtet.
Warum müssen Unternehmen ihre Dienstleister kontrollieren?
Der Hauptgrund ist einfach: weil sie gesetzlich dazu verpflichtet sind (Art. 28 Abs. 1 DSGVO). Unternehmen sind für ihre Datenverarbeitungen verantwortlich und müssen gewährleisten, dass ihre Dienstleister dieselben datenschutzrechtlichen Standards erfüllen.
Erfüllt man diese Kontrollpflicht nicht, können Aufsichtsbehörden Bußgelder verhängen. Mangelnde Dienstleisterkontrollen wurden in den ersten Jahren der DSGVO wenig beanstandet. Nun rücken sie langsam in den Fokus der Aufsichtsbehörden. Der BfDI führte 2025 über 80 Vor-Ort-Kontrollen und 40 schriftliche Audits durch. Vodafone beispielsweise wurde mit 15 Millionen Euro Bußgeld belegt, weil Partneragenturen als Auftragsverarbeiter nicht ausreichend kontrolliert wurden. Darüber hinaus müssen Unternehmen ihre Dienstleister kontrollieren, um bestimmte Zertifizierungen, z.B. ISO 27001 oder TISAX, erhalten zu können.
Die Kontrollen dienen auch dem eigenen Interesse jedes Unternehmens. Denn kommt es bei Auftragsverarbeitern zu einer Datenpanne, haftet in der Regel auch das beauftragende Unternehmen. Die Folgen reichen von Bußgeldern über Schadensersatzforderungen betroffener Personen bis hin zu Reputationsschäden.
Wann und wie aufwändig muss geprüft werden?
Die Pflicht zur Dienstleisterkontrolle beginnt schon bei der Auswahl des Dienstleisters und endet erst mit Beendigung der Zusammenarbeit. Genauere gesetzliche Vorgaben für die Zeitpunkte der Kontrollen gibt es jedoch nicht.
- Vor dem Einsatz: Wichtig ist, Dienstleister bereits vor der Nutzung sorgfältig auszuwählen. Was hierbei zu beachten ist, haben wir bereits in [diesem Blogbeitrag] (https://sidit.de/blog/sorgfaeltige-datenschutzrechtliche-auswahl-dienstleistern) erläutert.
- Anlassbezogen: Wenn Datenschutzvorfälle oder datenschutzrechtliche Mängel bei einem Dienstleister bekannt werden, kann das ebenfalls einen punktuellen Anlass für eine Kontrolle darstellen.
- Regelmäßig: Abgesehen davon kann man keine pauschalen Aussagen zu Prüfungszeiträumen treffen, jedoch wird auf jeden Fall eine „regelmäßige“ Prüfung verlangt.
Die Aufsichtsbehörden bestätigen zunehmend den von vielen Unternehmen schon gelebten risikobasierten Ansatz. Hierbei klassifiziert man das Risiko der Auftragsverarbeitung und orientiert daran den Prüfzyklus sowie den Prüfungsumfang, d.h. umso riskanter die Datenverarbeitung ist, desto höher ist der Kontrollbedarf. Denn alle Dienstleister gleich häufig und mit derselben Sorgfalt zu prüfen, ist Unternehmen weder zumutbar noch wirtschaftlich.
Wie kann man die Dienstleister klassifizieren?
Die Risiko-Klassifizierung hängt von mehreren Faktoren ab, insbesondere:
- Menge der verarbeiteten personenbezogenen Daten,
- Sensibilität der verarbeiteten Daten,
- Ort der Verarbeitung (EU/EWR vs. Nicht-EU/EWR),
- Art der Verarbeitung,
- Einsatz von KI,
- Technische und Organisatorische Maßnahmen des Dienstleisters (TOM)
Beispiele für hohes Risiko:
- IT-Dienstleister mit Zugriff auf Gesundheitsdaten tausender Patienten
- Große Cloud-Anbieter mit Sitz in den USA, wenn der Großteil der personenbezogenen Daten von diesen verarbeitet werden
- Tools mit KI-Funktionen und Drittlandtransfer
Beispiele für mittleres Risiko:
- Lohnbuchhaltung
- Personalsoftware
- Große Cloud-Anbieter mit Sitz und Verarbeitungsort in EU/EWR, wenn der Großteil der personenbezogenen Daten darauf verarbeitet werden
Beispiele für geringes Risiko:
- Software für den Newsletter-Versand bei KMUs
- Online-Terminbuchungstools, die nur Name und E-Mail-Adressen verarbeiten
Wie muss geprüft werden und was genau prüft man eigentlich?
In der Unternehmenspraxis werden die Nachweise oft über Zertifikatsprüfungen, Testate, Fragebögen und unabhängige Audits erbracht. Eine der bekanntesten Zertifizierungen ist die ISO 27001, die Informationssicherheitsmanagementsysteme (ISMS) zertifiziert. Daneben können Testate, in denen eine sachkundige Stelle (bspw. DSB) die Einhaltung der datenschutzrechtlichen Anforderungen bescheinigt, nützlich sein. Weitere Wege zur Kontrolle von Dienstleister sind die Übersendung von Fragebögen und Anforderungen von Unterlagen zur Überprüfung oder aber die Beauftragung eines unabhängigen Auditors. Vor-Ort-Kontrollen beim Dienstleister stellen eher die Ausnahme dar. Neben dem hohen organisatorischen Aufwand fallen hier in der Regel hohe Kosten an. Diese hohen Kosten stehen in der Regel nicht im Verhältnis zum Nutzen.
Fazit
Die Kontrolle von Auftragsverarbeitern ist Pflicht und sie rückt bei den Aufsichtsbehörden zunehmend in den Fokus. Niemand verlangt jedoch, dass Sie jeden Dienstleister jährlich vor Ort prüfen. Entscheidend ist ein nachvollziehbares System. Wählen Sie Ihre Dienstleister sorgfältig aus, stufen Sie sie nach Risiko ein und prüfen Sie die risikoreichen häufiger und gründlicher. Bei den übrigen genügen verhältnismäßige Nachweise wie Zertifikate, Testate oder Fragebögen. Wer seine Prüfungen am Risiko ausrichtet und alles dokumentiert, erfüllt seine gesetzlichen Pflichten, ohne den Betrieb mit unnötigem Aufwand zu belasten.
Gerne unterstützen wir als Datenschutzbeauftragte Sie dabei, den passenden Prüfumfang für jeden Dienstleister festzulegen. Kontaktieren Sie uns bei Fragen unter info@sidit.de oder 0931-7808770.




