Zum Inhalt springen Zur Navigation springen
Anforderungen an die Dienstleisterkontrolle

Anforderungen an die Dienstleisterkontrolle

Artikel von Dr. Datenschutz·19. Mai 2025

Die Dienstleisterkontrolle und das damit zusammenhängende Dienstleistermanagement wird oft vernachlässigt. Mancher glaubt, mit dem Abschluss eines Auftragsverarbeitungsvertrages und der Vereinbarung von technischen und organisatorischen Maßnahmen alles getan zu haben. Dies ist ein Trugschluss!

Welche Anforderungen gelten für die Dienstleisterkontrolle?

Sowohl die DSGVO als auch die ISO 27001 oder TISAX erfordern ein Dienstleistermanagement. Inhaltlich bedeutet dies:

  • die Auswahl eines geeigneten Dienstleisters,
  • die vertragliche Vereinbarung mit dem Dienstleister und die Dokumentation der Weisungen,
  • die risikobasierte Kontrolle des Dienstleisters während der Beauftragung mit adäquaten Methoden
  • die geordnete Abwicklung bei Beendigung des Vertragsverhältnisses inkl. Löschbestätigung sowie
  • die Dokumentation aller Aktivitäten.

Auswahl des Dienstleisters

Obwohl die DSGVO schon seit Jahren in Kraft ist und obwohl die Thematik mit Drittlandtransfers heftig diskutiert wurde, gibt es immer noch zahlreiche Unternehmen, die die Auswahl der Dienstleister sehr locker nehmen. Man nimmt, was kommt – Hauptsache billig! Tatsächlich fordert aber Art. 28 Abs. 1 DSGVO, dass nur solche Auftragsverarbeiter eingesetzt werden, die

„hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen“

bei der Datenverarbeitung über die gesamte Dauer eingehalten werden, d.h. es bedarf der konkreten Überlegung, ob die angebotenen technischen und organisatorischen Maßnahmen für die konkret vorgesehene Datenverarbeitung ausreichend sind. Wie in Erwägungsgrund 81 dargelegt, ist hierbei auch

  • das Fachwissen der Auftragsverarbeiter
  • deren Zuverlässigkeit
  • deren Ressourcen

heranzuziehen, um die technischen und organisatorischen Maßnahmen als ausreichend gem. Art. 24 DSGVO bewerten zu können. Diese Bewertung seitens des Verantwortlichen ist zu dokumentieren.

Abschluss des Auftragsverarbeitungsvertrages

Es gibt Unternehmen, die wissen nicht, dass Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO abgeschlossen werden müssen. Aber nicht wenige achten nicht auf die Vollständigkeit, also das Vorliegen aller Anlagen und Unterschriften. Bei Drittlandbezug sind zudem besondere Regelungen nach Art. 44 ff DSGVO zu beachten d.h. es sind die EU-Standardvertragsklauseln abzuschließen und ein Transfer Impact Assessment (TIA) durchzuführen, sofern kein EU-Angemessenheitsbeschluss vorliegt.

Aufzunehmen in dem Vertrag, ist immer auch eine Regelung in Bezug auf die Beendigung und die Rückgabe oder datenschutzkonforme Löschung der personenbezogenen Daten des Betroffenen, und zwar auch für den Fall der außerordentlichen Trennung.

Fehlt ein rechtswirksamer Auftragsverarbeitungsvertrag verantworten dies beide, sowohl der Verantwortliche als auch der Auftragsverarbeiter. Beide sind für den Abschluss des Auftragsverarbeitungsvertrages verantwortlich und für die Einhaltung der Anforderungen aus den Art. 44 ff DSGVO.

Risikobasierte Kontrolle der Dienstleister

Längst nicht alle Unternehmen verfügen über eine vollständige Übersicht Ihrer eingesetzten Dienstleister, wie dies im Datenschutzmanagement durch die Nachweispflicht in Art. 5 Abs. 2 DSGVO  gefordert wird. Wesentlich ist hierbei, dass der Verantwortliche die Identität der eingesetzten (Sub-)Auftragsverarbeiter kennen muss, um etwa der Auskunftspflicht gegenüber Betroffenen nachkommen zu können, d.h. die Liste der Dienstleister muss die konkreten Datenempfänger enthalten.

Eine vorhandene Übersicht über die Dienstleister ermöglicht es dem Verantwortlichen, risikobasiert eine Kontrolle der Auftragsverarbeiter während der Beauftragung vorzunehmen. Er kann gemessen an der beauftragten Datenverarbeitung, z.B. aufgrund der Menge der Daten oder deren Schutzbedarf, sowohl die Häufigkeit und die Methode der Kontrolle definieren, aber er kann die Kontrolle nicht vollständig unterlassen.

Warum soll eine Dienstleisterkontrolle erfolgen?

Im Laufe der Vertragsbeziehung kann sich viel verändern, die technischen und organisatorischen Maßnahmen, die Sub-Auftragsverarbeiter, die Datenverarbeitung an sich. Üblicherweise sollten diese Veränderungen zeitnah dem Vertragspartner kommuniziert werden, oft genug ist das nicht der Fall. Die Kontrolle verringert auch die Gefahr der Haftung und eines möglichen Bußgeldes bei nicht datenschutkonform durchgeführten Datenverarbeitungen.

Was ist von der Dienstleisterkontrolle umfasst?

Oftmals wird vertreten, dass es ausreicht, wenn der Verantwortliche den Haupt-Auftragnehmer prüft, d.h. den mit diesem geschlossenen Auftragsverarbeitungsvertrag und die technischen und organisatorischen Maßnahmen. Die Prüfung der Sub-Auftragnehmer wäre eine Angelegenheit der Haupt-Auftragnehmer, die die Verpflichtungen aus dem initialen Auftragsverarbeitungsvertrag weiterreichen müssen.

Tiefe der Dienstleisterkontrolle

Gerade bei den eingesetzten Sub-Auftragsverarbeitern wird es spannend, denn wie tief muss die Kontrolle insbesondere bei Kettenauftragsverhältnissen gehen. Zwar ist es für den Haupt-Auftragsverarbeiter gem. Art. 28 Abs. 2 DSGVO nur mit Zustimmung des Verantwortlichen möglich, weitere Sub-Auftragsverarbeiter einzusetzen, dennoch ist zu klären, wie und in welchem Umfang der Sub-Auftragnehmer von dem Verantwortlichen zu kontrollieren ist, d.h. deren Auftragsverarbeitungsverträge vom Verantwortlichen zu prüfen sind.

Verantwortung des Verantwortlichen trotz Delegation

Der Verantwortliche bleibt stets für die Datenverarbeitung verantwortlich, unabhängig davon, ob er Auftragsverarbeiter und wie viele er einsetzt. Er muss daher auch wissen, wer alles mit der Datenverarbeitung betraut ist. Demzufolge muss er gem. Art. 28 Abs. 1 und 2 DSGVO alle, auch die Sub-Auftragsverarbeiter jederzeit kennen, so die Meinung des EDSA in opinion 22/2024 in Rn. 31.

Er ist auch dafür verantwortlich, dass hinreichende Garantien für technische und organisatorische Maßnahmen durch die Auftragverarbeiter gegeben sind. Diese Verantwortung bleibt auch bei Kettenauftragsverarbeitungsverträgen bestehen und wird nicht auf den Haupt-Auftragsverarbeiter übertragen. Die möglicherweise hohe Anzahl an Sub-Auftragsverarbeitern oder die Schwierigkeit der Prüfung dieser Sub-Auftragsverarbeiter entbindet den Verantwortlichen nicht von deren Prüfung. Bei Zweifeln an der Zuverlässigkeit der (Sub-)Auftragsverarbeiter, bei einer hohen Menge an Daten, bei der Verarbeitung von besonderen personenbezogenen Daten, sollte der Verantwortliche die Prüfung nicht nur Dritten überlassen.

Risikobasierte Prüfung und Drittstaatentransfers

Immerhin kann der Verantwortliche risikobasiert vorgehen, was den Umfang der Prüfung anbelangt (lt. EDSA in opinion 22/2024 Rn. 48), d.h. er muss nicht in jedem Fall alle Auftragsverarbeitungsverträge mit den Sub-Auftragsverarbeitern einfordern.

Er kann aber die Prüfung auch nicht vollends unterlassen und dem Haupt-Auftragsverarbeiter in Bezug auf die Sub-Auftragsverarbeiter übertragen. Denn auch wenn Art. 28 Abs. 4 DSGVO den Haupt-Auftragsverarbeiter verpflichtet, die gegenüber dem Verantwortlichen eingegangenen Verpflichtungen in der Kette weiterzureichen, entbindet dies den Verantwortlichen nicht von seiner Prüfpflicht. Erfolgt diese nicht oder unzureichend, bleibt der der Verantwortliche weiterhin verantwortlich, kann aber den Haupt-Auftragsverarbeiter in die Haftung nehmen.

Sind in der Beauftragungskette Sub-Auftragsverarbeiter in Drittstaaten eingesetzt, hat der Verantwortlich auch die Voraussetzungen der Art. 44 ff DSGVO zu prüfen. Der Verantwortliche sollte also wissen, welche personenbezogenen Daten, für welche Zwecke im Drittland von Sub-Auftragsverarbeitern verarbeitet werden. In den Prüfumfang des Verantwortlichen fällt auch, ob ein EU-Angemessenheitsbeschluss vorliegt, und ob der eingesetzte Sub-Auftragsverarbeiter hiervon umfasst ist. Sollte kein EU-Angemessenheitsbeschluss vorhanden sein, müssen die Voraussetzungen des Art. 46 ff DSGVO erfüllt sein.

Kontrollpflicht nach Vertragsende

Das Vertragsende bedeutet nicht das Ende der Kontrollpflicht. Viele haben in den Auftragsverarbeitungsverträgen schon eine Formulierung, dass mit Vertragsende die personenbezogenen Daten des Verantwortlichen herauszugeben oder datenschutzkonform zu löschen seien. Aber wird dies auch nachweislich kontrolliert?

Der Verantwortliche ist über das Vertragsende hinaus verantwortlich dafür, dass die eigenen personenbezogenen Daten datenschutzkonform verarbeitet werden. Er muss also auch sicherstellen, dass der Auftragsverarbeiter diese zum vertraglich vereinbarten Zeitpunkt herausgegeben oder gelöscht hat. Die reine Mail des Auftragsverarbeiters dies innerhalb der vorgesehenen Frist zu tun, reicht nicht. Das OLG Dresden hat in seinen Urteilen, u.a. in dem Urteil vom 15.10.2024 – 4 U 422/24 ausdrücklich eine Löschbestätigung gefordert.

Überdies ist der Auftragsverarbeiter nicht nur aufgrund vertraglicher Vereinbarung im Auftragsverarbeitungsvertrag verpflichtet, die Daten zu löschen, sondern auch aufgrund der in Art. 5 DSGVO festgelegten datenschutzrechtlichen Grundsätze der Datenminimierung und Speicherbegrenzung.

Haftung des Verantwortlichen

Für den Verantwortlichen sind daher die Kontrollnachweise gem. Art. 28 Abs. 3 lit. h DSGVO essentiell, um eine Haftung gegenüber dem Betroffenen zu vermeiden.

Die Dienstleisterkontrolle nur auf den Auftragsverarbeitungsvertrag mit dem Haupt-Auftragsverarbeiter zu beziehen und die Kontrolle der Sub-Auftragsverarbeiter auf ersteren zu verlagern, ist nicht ausreichend. Auf diese Weise macht sich der Verantwortliche gegenüber dem Betroffenen haftbar, denn die in Art. 28 Abs. 1 DSGVO festgelegte Kontrollpflicht des Verantwortlichen

„so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichende Garantien dafür bieten“

bedeutet, dass diese Garantien für die Dauer der beauftragen Datenverarbeitung beim Auftragsverarbeiter vorliegen und vom Verantwortlichen überprüft werden müssen. Erfolgt dies nicht, kann bei Datenschutzverstößen der Betroffene den Verantwortlichen direkt haftbar machen gem. Art. 82 Abs. 4 DSGVO. Ein gutes Dienstleistermanagement, also eine gut etablierte Dienstleisterkontrolle, kann Haftungsfälle vermeiden.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2025B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2025.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

  • Vielen Dank für den Beitrag. Ich habe noch nicht ganz verstanden, inwiefern die Unterauftragnehmer bei Auskunftsersuchen beauskunftet werden müssen? Inwieweit muss hier die Ketter der Unterauftragnehmer namentlich genannt werden?

    • Art. 13, 14 Abs. 1 lit. e DSGVO verpflichten den Verantwortlichen die Betroffenen über Empfänger zu informieren. Kann der Verantwortliche die Empfänger nicht konkret benennen, weil diese noch nicht feststehen oder kann er belegen, dass die Auskunft exzessiv ist, dann kann er sich auf Empfängerkategorien beschränken. Andernfalls muss der Verantwortliche die Empfänger benennen, um einen effektiven Rechtsschutz zu gewährleisten, d. h. er muss die Empfänger hierzu kennen. Gleiches gilt für die Ausübung der Kontrolle, ob der (Sub-) Auftragnehmer für die konkrete Datenverarbeitung hinreichende Garantien bietet, um die personenbezogenen Daten schutzbedarfsgerecht zu verarbeiten. Die Benennung der Unterauftragnehmer ergibt sich aus der Zusammenschau der Art. 28 Abs. 1, 2, 4 und Art. 5 abs. 2 sowie Art. 24 Abs. 1 DSGVO wie dies in Rn 19 der Opinion 22/2024 beschrieben ist. Dies wird auch von der bay. Datenschutzaufsicht in dem Tätigkeitsbericht 2024 Punkt 4.2 so gesehen.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.