Zurück zum Blog
    Datensicherheit7. Juli 2026

    Sorgfältige datenschutzrechtliche Auswahl von Dienstleistern nach DSGVO

    Sorgfältige datenschutzrechtliche Auswahl von Dienstleistern nach DSGVO

    Wer heute Newsletter versendet, in der Cloud arbeitet oder eine Agentur für das Hosting nutzt, arbeitet fast immer mit Dienstleistern zusammen, die personenbezogene Daten verarbeiten. Genau hier lauert ein Klassiker: Der Dienstleister ist schnell gebucht, aber die datenschutzrechtliche Prüfung kommt, wenn überhaupt, irgendwann später. Wie kann eine sorgfältige datenschutzrechtliche Auswahl von Dienstleistern pragmatisch, aber rechtssicher erfolgen, und welche Risiken sollten dabei vermieden werden?

    Brauche ich überhaupt einen Auftragsverarbeitungsvertrag (AVV)?

    Bevor es um Datenschutzdetails geht, sollte zunächst geklärt werden: Ist der Dienstleister überhaupt als Auftragsverarbeiter für Ihr Unternehmen tätig oder ist er eigener Verantwortlicher? Davon hängt ab, ob ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO erforderlich ist.

    Ein Dienstleister ist in der Regel Auftragsverarbeiter, wenn:

    • er personenbezogene Daten ausschließlich für Zwecke des Auftraggebers verarbeitet,
    • der Auftraggeber die Zwecke der Verarbeitung festlegt (z. B. „Versand eines Newsletters an unsere Kunden“) und
    • der Dienstleister keine eigenen Entscheidungen über die Zwecke trifft, sondern „nur“ die Mittel für die Zwecke bereitstellt (Software, Infrastruktur etc.).

    Typische Beispiele für Auftragsverarbeiter, bei denen ein Auftragsverarbeitungsvertrag Pflicht ist:

    • Newsletter-Tools
    • Webhosting-Anbieter
    • Cloud-Speicher-Dienste (z. B. für Dateiablage, Backups)
    • IT-Wartungsdienstleister mit Zugriff auf Produktivsysteme

    Kriterien für die datenschutzrechtliche Auswahl von Dienstleistern

    Ist geklärt, dass der Dienstleister als Auftragsverarbeiter handelt, geht es um die sorgfältige Auswahl. Die DSGVO verlangt, dass Verantwortliche nur solche Dienstleister einsetzen, die „hinreichende Garantien“ für eine DSGVO-konforme Datenverarbeitung bieten. Praktisch bedeutet das: Es sollte nachvollziehbar geprüft werden, wie der Dienstleister mit Datenschutz und IT-Sicherheit umgeht. Relevant sind hierbei insbesondere folgende Prüfkriterien:

    • Die technischen und organisatorischen Maßnahmen (TOMs) des Auftragsverarbeiters
    • Der Standort der Datenverarbeitung (EU/EWR vs. außerhalb)
    • Subunternehmer des Auftragsverarbeiters (z. B. Rechenzentren, Cloud-Anbieter, externe Support-Dienstleister)
    • Support- und Incident-Prozesse

    Dokumentation der Auswahlentscheidung – nicht nur „für die Schublade“

    Die sorgfältige datenschutzrechtliche Auswahl eines Dienstleisters ist nur dann belastbar, wenn sie auch dokumentiert ist. Aufsichtsbehörden fragen nicht nur „Was wurde gemacht?“, sondern auch „Wie können Sie belegen, was gemacht wurde?“. Eine pragmatische Dokumentation muss nicht aufgebläht und allumfassend sein, sollte aber insbesondere Folgendes enthalten:

    • Zweck(e) des Einsatzes (z. B. „Versand eines Newsletters an Bestandskunden“)
    • Arten der verarbeiteten personenbezogenen Daten (z. B. Namen, E-Mail-Adressen, IP-Adressen, Bestelldaten, besondere Kategorien nach Art. 9 ja/nein)
    • Risiko-Einschätzung bezüglich der konkreten Nutzung des Auftragsverarbeiters (niedrig/mittel/hoch mit kurzer Begründung)

    Herangezogene Prüfkriterien:

    • TOMs (Kurzbewertung, Verweis auf Dokumente)
    • Standort der Datenverarbeitung
    • Subunternehmer des Auftragsverarbeiters
    • Support- und Incident-Prozesse

    Entscheidung:

    • Warum wurde dieser Dienstleister ausgewählt?
    • Wurden Alternativen betrachtet? Wenn ja, aus welchen Gründen wurden sie verworfen?

    Gestaltung des Auftragsverarbeitungsvertrags (AVV) und warum eine Prüfung sinnvoll ist

    Nach der Auswahl folgt regelmäßig der Abschluss des Auftragsverarbeitungsvertrags. Viele Auftragsverarbeiter stellen eigene Standardverträge zur Verfügung. Deren Qualität und Ausgewogenheit ist sehr unterschiedlich.

    Häufig auftretende Probleme bei diesen AVVs sind z. B.:

    • sehr vage Beschreibungen der TOMs („Stand der Technik“ ohne Konkretisierung),
    • Klauseln, die dem Dienstleister weite Freiheiten bei der Einschaltung von Subunternehmern einräumen,
    • unklare oder fehlende Regelungen zu Meldung und Behandlung von Datenpannen,
    • generell AV-Verträge, die nicht auf den tatsächlichen Leistungsumfang angepasst worden sind und nur als „Papierlösung“ dienen.

    Gerade bei großen internationalen Anbietern sind die Vertragswerke oft komplex, undurchsichtig und stark einseitig ausgestaltet. Eine Akzeptanz solcher Muster ohne inhaltliche Prüfung kann Unternehmen in eine nachteilige Position bringen, insbesondere bei Haftungsfragen. Daher sollten die Verträge vorab immer geprüft und bewertet werden.

    Laufende Kontrolle statt einmaliger Prüfung

    Die sorgfältige Auswahl und der Abschluss eines AV-Vertrags sind kein einmaliges Projekt. Die DSGVO verlangt, dass Dienstleister fortlaufend überwacht werden. Das bedeutet aber nicht, dass jedes Jahr vollständige Vor-Ort-Audits erforderlich sind.

    Genauere Informationen zur laufenden Dienstleisterkontrolle inklusive konkreter Beispiele für verschiedene Risikostufen können Sie auch hier nachlesen.

    Fazit: Sorgfalt ja, Bürokratie nein

    Die datenschutzrechtlich sorgfältige Auswahl von Dienstleistern ist kein Selbstzweck. Sie schützt:

    • die Betroffenen (v. a. Mitarbeitende, Kundinnen und Kunden, Nutzerinnen und Nutzer),
    • das verantwortliche Unternehmen selbst vor Bußgeldern und Haftungsrisiken,
    • und nicht zuletzt den Ruf des verantwortlichen Unternehmens, wenn doch einmal etwas schiefgeht.

    Mit einem klaren Schema – Rolle des Dienstleisters klären, Auswahlkriterien prüfen, Entscheidung dokumentieren, AV-Vertrag fachkundig gestalten und laufende Kontrolle etablieren – lässt sich das Thema praxisgerecht umsetzen, ohne im Bürokratiedschungel zu landen.

    Wir unterstützen Unternehmen gerne dabei, Dienstleister strukturiert zu bewerten, AV-Verträge zu prüfen und eine praktikable Dokumentation aufzusetzen, die im Geschäftsalltag tatsächlich funktioniert und rechtlich belastbar ist. Wir helfen Ihnen, aus der oft als lästig empfundenen „Pflicht“ einen wichtigen Baustein eines professionellen Datenschutz- und Sicherheitsmanagements zu formen. Kontaktieren Sie uns einfach unter 0931-7808770.

    Haben Sie Fragen zu diesem Thema?

    Jetzt Kontakt aufnehmen

    Verwandte Beiträge

    Dienstleister kontrollieren: Was die Aufsichtsbehörden erwarten
    Datensicherheit21. Juli 2026

    Dienstleister kontrollieren: Was die Aufsichtsbehörden erwarten

    Vodafone wurde mit einem Bußgeld von 15 Millionen Euro belegt, weil Partneragenturen als Auftragsverarbeiter nicht ausreichend kontrolliert wurden. Müssen Sie jetzt ernsthaft jeden Ihrer Dienstleister einzeln prüfen? Jährlich und vor Ort?

    Weiterlesen
    Ein gesundes Maß an Paranoia im Datenschutz
    Datensicherheit21. Nov. 2025

    Ein gesundes Maß an Paranoia im Datenschutz

    96 % der befragten Unternehmen sehen durch Datenschutz deutlich größere Einsparungen als Kosten. Wer Risiken antizipiert, spart am Ende.

    Weiterlesen
    Das Need-to-know-Prinzip: Datenschutz durch Berechtigungskonzepte
    Datensicherheit15. März 2022

    Das Need-to-know-Prinzip: Datenschutz durch Berechtigungskonzepte

    Das Need-to-know-Prinzip ist entscheidend für den Datenschutz in Unternehmen. Erfahren Sie, wie Sie unberechtigte Zugriffe verhindern und ein effektives Berechtigungskonzept implementieren.

    Weiterlesen