Zum Inhalt springen Zur Navigation springen
Dienstleisterkontrolle: Die Anforderungen werden nicht weniger

Dienstleisterkontrolle: Die Anforderungen werden nicht weniger

Artikel von Dr. Datenschutz·12. März 2026

Dienstleisterkontrolle ist längst kein Nischenthema mehr, sondern ein zentraler Baustein für wirksamen Datenschutz und Informationssicherheit im Sinne des PDCA-Zyklus. Technische Innovationen – insbesondere der Einsatz von KI – sowie sich wandelnde rechtliche Rahmenbedingungen erhöhen das Risiko, wenn Dienstleister nicht strukturiert ausgewählt, überprüft und fortlaufend überwacht werden. Welche Anforderungen sich daraus ergeben, welche Risiken drohen und wie ein pragmatisches Dienstleister-Assessment gestaltet werden kann, will dieser Beitrag aufzeigen.

Dienstleister-Assessment und PDCA

Sowohl die technischen als auch die rechtlichen Entwicklungen erfordern es, die bestehende Dienstleisterkontrolle im Rahmen des PDCA-Zyklus stetig zu überprüfen und zu verbessern. Dies gilt sowohl für das bestehende Datenschutzmanagementsystem (DMS) als auch für das Informationssicherheitsmanagementsystem (ISMS). Weder ein Managementsystem noch eine Vertragsbeziehung ist statisch. Beides sind dynamische Gebilde, und daher ist auch eine stetige Kontrolle und ggf. Anpassung der Vertragssituation erforderlich.

Bei vielen Verantwortlichen fristet die Dienstleisterkontrolle jedoch immer noch ein Mauerblümchendasein, und wird dadurch zu einem erheblichen Risikofaktor.

Die Dienstleisterkontrolle rückt zunehmend in das Visier der Datenschutzaufsichtsbehörden, und auch die Anforderungen aus der ISO 27001 und TISAX rücken das Dienstleistermanagement immer stärker in den Fokus der Unternehmen.

Bußgelder der Aufsichtsbehörden

Immer wieder werden fehlende, mangelhafte Auftragsverarbeitungsverträge, unzureichend geregelte Verantwortlichkeiten sowie unangemessene technische und organisatorische Maßnahmen mit Bußgeldern sanktioniert. Zwar wird die Dienstleisterkontrolle bislang noch nicht so häufig als isolierter Verstoß geahndet, jedoch machen zahlreiche Bußgeldbescheide rund um den Art. 28 DSGVO oder auch Art. 5, 24 und 32 DSGVO die Erwartungen der Aufsichtsbehörden deutlich, nämlich dass:

  • der Verantwortliche seine Dienstleister sorgfältig auswählt
  • den Datenschutz beim Dienstleister nachweisbar prüft,
  • und fortlaufend überwacht (z.B. über Audits, Fragebögen, Zertifikatsprüfungen) und zwar über den gesamten Einsatz hinweg bis zu dessen Beendigung.

Prominentes Beispiel ist das Bußgeld gegen Vodafone Απόφαση 27/2025. Hierbei war es aufgrund der nicht ausreichenden Überprüfung von Partneragenturen, die als Auftragsverarbeiter für Vodafone Griechenland tätig waren, zu einem Bußgeld von 15 Mio. EUR gekommen. In diesem Zusammenhang verhängte der BfDI ebenfalls noch ein Bußgeld gegen Vodafone.

Durchführung der Dienstleisterkontrolle

Es ist also klar: Will der Verantwortliche Bußgelder vermeiden, sind funktionierende interne Prozesse unabdingbar. Für die Dienstleisterkontrolle gibt es keine expliziten Vorgaben, nur dass die Kontrolle bei der Auswahl des Dienstleisters, während der Beauftragung und bis zur Beendigung der Zusammenarbeit erfolgen soll.

Initialprüfung bei Beginn der Vertragsbeziehung

Während bei vielen Verantwortlichen zu Beginn der Vertragsbeziehung mittlerweile eine Prüfung des Dienstleisters erfolgt, wenn auch teilweise sehr rudimentär und oft anhand der Marketingunterlagen des Dienstleisters, so wird doch damit in gewisser Weise dokumentiert, dass man sich mit dem Dienstleister auseinandergesetzt hat.

Prüfung während und am Ende der Vertragsbeziehung

Im laufenden Betrieb oder nach Beendigung des Vertragsverhältnisses wird die Dienstleisterprüfung gerne komplett außer Acht gelassen. Dies ist jedoch nicht datenschutzkonform und es entspricht auch nicht den Vorgaben aus der Informationssicherheit.

Auch wenn die Prüfung lästig ist und Mehraufwand verursacht, ist sie dennoch erforderlich, etwa aufgrund von:

  • der Unsicherheit über den Fortbestand des EU-US-Angemessenheitsbeschlusses (EU-USA Transatlantic Data Privacy Framework) sowie der damit verbundenen Notwendigkeit, die in den USA eingesetzten Dienstleister – nicht zuletzt vor dem Hintergrund der politischen Entwicklungen – fortlaufend zu beobachten und zu bewerten
  • dem Einsatz neuer Technologien, wie z. B. KI-Funktionen, die als ergänzende Module in bereits verwendeten Tools bestehender Anbieter integriert werden und eine Neubewertung erfordern. Häufig erfährt die Vertragsabteilung hiervon nichts; nur die fachlich zuständige Abteilung, die das Tool nutzt, ist darüber informiert. Die mit der neu implementierten Funktion einhergehenden Risiken werden dadurch in der Initialprüfung nicht oder nicht vollständig berücksichtigt.

Gerade der KI-Einsatz ist problematisch, wenn über ein Update eine neue Funktion zur Verfügung gestellt wird und diese KI-Funktion etwa insgeheim das Lernen mit den Kundendaten für das Modell vornimmt. In diesem Fall wäre der ursprüngliche Auftragsverarbeitungsvertrag nicht mehr ausreichend, denn dann wäre eine eigene Verantwortlichkeit des Toolanbieters gegeben und ein potenzielles Bußgeldrisiko.

Wie die Dienstleisterprüfung erfolgt, bleibt risikobasiert dem Verantwortlichen überlassen

Er kann dazu auch auf Zertifikate zurückgreifen. Aber Vorsicht! Zertifikate belegen nur, dass der eingesetzte Dienstleister über entsprechende Prozesse verfügt. Hiermit ist aber keine Aussage dazu getroffen, dass die Prozesse im Lichte des Schutzbedarfs der verarbeiteten Daten auch ausreichend sind.

Ferner ist ein „blindes Vertrauen“ auf das Prüfsiegel unangebracht. Es ist immer erforderlich, den Scope des Zertifikats, die Gültigkeit, den Inhaber des Zertifikats sowie die Zuverlässigkeit der das Zertifikat ausgebenden Stelle zu prüfen, d. h. es sollte sich um eine Zertifizierungsstelle handeln, die entweder von der DAkkS benannt wurde oder der Zertifizierer sollte Mitglied der IAF sein, damit eine internationale Vergleichbarkeit der Auditierung gegeben ist.

Ob Zertifikate generell ausreichen oder nicht, lässt sich nicht sagen. Sie sind ein Indiz und eine Möglichkeit, aber nicht in jedem Fall ausreichend.

Was ist zu tun?

So wie die Vertragsbeziehung durch Ergänzungen und Nachträge geprägt ist und eben nicht statisch ist, gilt dies auch für die Dienstleisterprüfung. Auch wenn viele die Arbeit scheuen, sie schützt vor unliebsamen Überraschungen – den Bußgeldern – und schafft Klarheit bei Datenpannen und bei der Datenverarbeitung. Als Verantwortlicher habe ich mit der Kenntnis der ursprünglich nicht intendierten Verarbeitung, z. B. beim KI-Einsatz, die Möglichkeit, dies vertraglich abzubilden und mich abzusichern.

Für alle diejenigen, die noch keine Dienstleisterkontrolle durchführen, ist es an der Zeit, diese zu starten. Die anderen sollten ihre Fragenkataloge für das Dienstleister-Assessment um KI-Aspekte erweitern, etwa: ob und für wofür Dienstleister KI einsetzen, ob die Daten zum Training des eigenen Modells verwendet werden.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »DSGVO und Künstliche Intelligenz«
  • »Microsoft 365 sicher gestalten«
  • »Bewerber- und Beschäftigtendatenschutz«
  • »Auftragsverarbeitung in der Praxis«
  • »IT-Notfall Ransomware«
  • »DSGVO-konformes Löschen«
  • »ISMS: Informationssicherheit mit System«
Webinare entdecken
Mit dem Code „Webinar2026B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2026.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.