Datenschutz bei externen Dienstleistern: Vertrag, Risiko, Praxis

Datenschutz bei externen Dienstleistern: Vertrag, Risiko, Praxis

Externe Dienstleister und Datenschutz: Ein Praxisleitfaden 2025

Inhaltsverzeichnis

Einleitung: Warum externe Dienstleister besondere Sorgfalt erfordern

Die Auslagerung von Geschäftsprozessen an externe Dienstleister ist für kleine und mittlere Unternehmen (KMU) in Deutschland ein entscheidender Faktor für Effizienz und Wettbewerbsfähigkeit. Ob Cloud-Speicher, Lohnbuchhaltung oder Marketing-Automatisierung – Spezialisten übernehmen Aufgaben, die nicht zum Kerngeschäft gehören. Doch sobald personenbezogene Daten im Spiel sind, wird das Thema externe Dienstleister und Datenschutz zu einer zentralen Herausforderung für jeden Datenschutzbeauftragten und Entscheider. Die Verantwortung für den rechtmäßigen Umgang mit den Daten bleibt trotz Auslagerung vollständig beim auftraggebenden Unternehmen, dem sogenannten Verantwortlichen.

Dieser Leitfaden von MUNAS Consulting bietet eine praxisorientierte und juristisch fundierte Hilfestellung. Er führt Sie durch die rechtlichen Anforderungen, zeigt kritische Punkte bei der Auswahl und Steuerung von Dienstleistern auf und stellt konkrete Checklisten sowie Muster zur Verfügung, um die Compliance in Ihrem Unternehmen sicherzustellen.

Rechtsrahmen kompakt: Relevante DSGVO-Artikel und nationale Bezugspunkte

Die Zusammenarbeit mit externen Dienstleistern ist datenschutzrechtlich präzise geregelt. Das Fundament bildet die Datenschutz-Grundverordnung (DSGVO, GDPR auf Englisch). Für den korrekten Umgang mit dem Thema externe Dienstleister und Datenschutz sind insbesondere vier Bereiche der DSGVO von zentraler Bedeutung:

  • Artikel 28 DSGVO (Auftragsverarbeiter): Dies ist der Kernartikel. Er legt fest, dass der Verantwortliche nur Dienstleister, sogenannte Auftragsverarbeiter, einsetzen darf, die „hinreichende Garantien“ für den Schutz personenbezogener Daten bieten. Zudem definiert er die zwingenden Mindestinhalte eines Auftragsverarbeitungsvertrages (AVV).
  • Artikel 30 DSGVO (Verzeichnis von Verarbeitungstätigkeiten): Der Verantwortliche muss in seinem Verzeichnis auch jene Verarbeitungstätigkeiten dokumentieren, die durch externe Dienstleister erfolgen. Dies schließt Angaben zum Auftragsverarbeiter und zu etwaigen Datenübermittlungen in Drittländer ein.
  • Artikel 32 DSGVO (Sicherheit der Verarbeitung): Der Verantwortliche bleibt auch bei Auslagerung für die Sicherheit der Daten verantwortlich. Er muss prüfen und sicherstellen, dass der Dienstleister angemessene technische und organisatorische Maßnahmen (TOMs) implementiert hat.
  • Kapitel V DSGVO (Datenübermittlungen an Drittländer): Werden Daten durch einen Dienstleister in einem Land außerhalb der EU oder des EWR verarbeitet, gelten die strengen Regeln des Kapitels V. Dies erfordert oft zusätzliche Garantien wie Standardvertragsklauseln (SVK).

Diese europäischen Vorgaben werden durch nationale Gesetze wie das Bundesdatenschutzgesetz (BDSG) ergänzt, die spezifische Regelungen, beispielsweise im Beschäftigtenkontext, enthalten können. Informationen hierzu stellt unter anderem der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) bereit.

Pflichten des Verantwortlichen vor Auswahl eines Dienstleisters

Die Sorgfaltspflichten beginnen lange vor der Vertragsunterzeichnung. Eine fundierte Auswahl des Dienstleisters ist die Basis für eine datenschutzkonforme Zusammenarbeit. Versäumnisse in dieser Phase können später kaum noch korrigiert werden und stellen ein erhebliches Haftungsrisiko dar.

Prüfung der Eignung und Zuverlässigkeit

Bevor Sie einen Dienstleister beauftragen, müssen Sie dessen Eignung sorgfältig prüfen (Due Diligence). Folgende Schritte sind unerlässlich:

  • Einholung von Selbstauskünften: Fordern Sie eine detaillierte Selbstauskunft zum Datenschutzmanagement des potenziellen Dienstleisters an.
  • Prüfung von Zertifizierungen: Anerkannte Zertifikate (z. B. nach ISO 27001) oder geprüfte Verhaltenskodizes können ein Indiz für ein hohes Datenschutzniveau sein, ersetzen aber nicht die eigene Prüfung.
  • Analyse der TOMs: Lassen Sie sich die implementierten technischen und organisatorischen Maßnahmen detailliert beschreiben und prüfen Sie deren Angemessenheit für Ihre spezifischen Daten.
  • Standort der Datenverarbeitung: Klären Sie unmissverständlich, wo die Daten physisch verarbeitet und gespeichert werden. Dies ist entscheidend für die Beurteilung von Drittlandtransfers.

Kriterien zur Risikoabschätzung: Was zählt wirklich?

Nicht jede Auftragsverarbeitung birgt das gleiche Risiko. Eine risikobasierte Bewertung hilft, den Prüfaufwand zu priorisieren. Entscheidend sind Art und Umfang der zu verarbeitenden Daten:

  • Besondere Kategorien von Daten (Art. 9 DSGVO): Bei Gesundheitsdaten, genetischen Daten oder Daten zur ethnischen Herkunft ist das Risiko per se hoch. Hier sind strengste Maßstäbe an den Dienstleister anzulegen.
  • Mitglieder- und Kundendaten: Die Verarbeitung umfangreicher Datensätze von Mitgliedern (z. B. in Vereinen) oder Kunden (z. B. im E-Commerce) birgt ein hohes Risiko für die Rechte und Freiheiten der Betroffenen, insbesondere wenn Verhaltensprofile erstellt werden.
  • Mitarbeiterdaten: Bei der Auslagerung der Lohnbuchhaltung oder der Personalverwaltung werden sensible Sozial- und Finanzdaten verarbeitet, die eines besonderen Schutzes bedürfen.

Auftragsverarbeitungsvertrag (AVV): Pflichtinhalte und kritische Klauseln

Der Auftragsverarbeitungsvertrag (AVV) ist das zentrale rechtliche Instrument zur Absicherung der Datenverarbeitung durch Externe. Er ist keine Option, sondern eine gesetzliche Pflicht gemäß Art. 28 Abs. 3 DSGVO. Ein fehlender oder mangelhafter AVV stellt einen bußgeldbewährten Verstoß dar.

Annotiertes AVV-Muster: Darauf müssen Sie achten

Ein rechtskonformer AVV muss mindestens die in Art. 28 Abs. 3 DSGVO genannten Punkte regeln. Achten Sie bei Vertragsverhandlungen besonders auf folgende Klauseln:

  • Gegenstand und Dauer der Verarbeitung: Präzise Beschreibung, welche Daten für welchen Zweck und wie lange verarbeitet werden.
  • Weisungsrechte des Verantwortlichen: Der Vertrag muss klarstellen, dass der Dienstleister die Daten ausschließlich auf dokumentierte Weisung des Auftraggebers verarbeiten darf.
  • Vertraulichkeit: Verpflichtung aller zur Verarbeitung befugten Personen zur Vertraulichkeit.
  • Sicherheit der Verarbeitung (TOMs): Der AVV muss auf konkrete TOMs verweisen, die der Dienstleister umsetzt. Eine bloße Behauptung, “angemessene Maßnahmen” zu treffen, ist unzureichend.
  • Unterauftragsverarbeiter (Subprozessoren): Die Einschaltung weiterer Dienstleister durch Ihren Auftragsverarbeiter bedarf Ihrer vorherigen schriftlichen Genehmigung. Der AVV muss das Genehmigungsverfahren und die Informationspflichten bei einem Wechsel regeln.
  • Audit- und Kontrollrechte: Ihnen muss das Recht eingeräumt werden, die Einhaltung der vertraglichen und gesetzlichen Pflichten beim Dienstleister zu überprüfen, z. B. durch Inspektionen vor Ort oder die Anforderung von Prüfberichten.
  • Löschung und Rückgabe der Daten: Der Vertrag muss festlegen, was mit den Daten nach Beendigung des Auftrags geschieht – Löschung oder Rückgabe nach Ihrer Wahl.

Technische und organisatorische Maßnahmen (TOMs): Konkrete Beispiele und Prüfkriterien

Die in Art. 32 DSGVO geforderten TOMs sind das technische und organisatorische Rückgrat des Datenschutzes. Sie müssen dem Risiko angemessen sein. Ihre Aufgabe als Verantwortlicher ist es, die vom Dienstleister vorgeschlagenen TOMs zu bewerten.

Prüfkriterien für TOMs

Verlangen Sie eine detaillierte Beschreibung und prüfen Sie diese anhand folgender Kriterien:

Maßnahme Konkretes Beispiel und Prüffrage
Verschlüsselung Werden Daten sowohl bei der Übertragung (Transportverschlüsselung, z.B. TLS 1.3) als auch bei der Speicherung (Verschlüsselung at Rest, z.B. AES-256) verschlüsselt? Wer verwaltet die Schlüssel?
Zugriffskontrolle Gibt es ein differenziertes Rollen- und Berechtigungskonzept? Wird der Zugriff nach dem Need-to-know-Prinzip gewährt und protokolliert?
Datensicherung/Backup Wie lautet das Backup-Konzept? Werden Backups verschlüsselt und getrennt gelagert? Wie schnell können Daten wiederhergestellt werden (Recovery Time Objective)?
Integrität und Verfügbarkeit Wie wird die Systemverfügbarkeit sichergestellt (z. B. Redundanz)? Wie wird die Integrität der Daten gegen unbefugte Veränderung geschützt?

Internationale Datenübermittlungen: Risiken und Schutzmechanismen

Der Einsatz externer Dienstleister wird besonders komplex, wenn diese Daten außerhalb der EU/des EWR verarbeiten. Externe Dienstleister und Datenschutz nach Kapitel V DSGVO erfordern eine genaue Prüfung.

Für eine rechtmäßige Übermittlung ist eine der folgenden Grundlagen erforderlich:

  • Angemessenheitsbeschluss: Die EU-Kommission hat für bestimmte Länder (z.B. Schweiz, Großbritannien) ein angemessenes Datenschutzniveau festgestellt.
  • Standardvertragsklauseln (SVK): Für Übermittlungen in andere Länder (insbesondere die USA) sind die von der EU-Kommission genehmigten SVK als vertragliche Garantie abzuschließen.
  • Ergänzende Maßnahmen: Seit dem “Schrems II”-Urteil des EuGH müssen bei Nutzung von SVK zusätzlich die Rechtslage im Drittland bewertet und gegebenenfalls technische und organisatorische Zusatzmaßnahmen (z.B. starke Verschlüsselung) ergriffen werden, um den Datenzugriff durch dortige Behörden zu verhindern.

Datenverarbeitungsnachweis und Dokumentation nach Art. 30 DSGVO

Jede Auftragsverarbeitung muss in Ihrem Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO dokumentiert werden. Dies sorgt für Transparenz und ist die Grundlage Ihrer Rechenschaftspflicht.

Beispielstruktur für den VVT-Eintrag

  • Name und Kontaktdaten des Verantwortlichen
  • Zweck der Verarbeitung (z.B. “Durchführung der Lohnbuchhaltung”)
  • Kategorien betroffener Personen (z.B. “Mitarbeiter”)
  • Kategorien personenbezogener Daten (z.B. “Stammdaten, Gehaltsdaten, Sozialversicherungsdaten”)
  • Name des Auftragsverarbeiters
  • Ggf. Übermittlung an Drittländer (inkl. Angabe der Rechtsgrundlage, z.B. “USA, auf Basis von SVK und ergänzenden Maßnahmen”)
  • Fristen für die Löschung der Daten

Sektorale Praxisbeispiele

Die Risiken und Anforderungen variieren je nach Branche:

  • Gesundheitswesen: Einsatz von Praxissoftware-Anbietern oder telemedizinischen Plattformen erfordert höchste Sicherheitsstandards und oft eine Zertifizierung nach branchenspezifischen Normen.
  • Wohnungswirtschaft: Heizkostenabrechnungsdienste oder Handwerker-Portale verarbeiten Mieterdaten. Hier ist auf klare Zweckbindung und Löschfristen zu achten.
  • Vereine: Die Nutzung von Cloud-basierten Mitgliederverwaltungen erfordert eine sorgfältige Prüfung des Anbieters, insbesondere bei Sitz außerhalb der EU.

Prüflisten und Self-Audit: Ein praktischer Werkzeugkasten

Um den Überblick zu behalten, sind systematische Prüfungen unerlässlich. Etablieren Sie einen internen Prozess für die Freigabe und regelmäßige Überprüfung externer Dienstleister.

Checkliste zur Lieferantenauswahl

  • [ ] Datenschutz-Selbstauskunft des Anbieters eingeholt und bewertet?
  • [ ] AVV-Entwurf angefordert und auf Vollständigkeit nach Art. 28 DSGVO geprüft?
  • [ ] Beschreibung der TOMs erhalten und auf Angemessenheit geprüft?
  • [ ] Standort der Datenverarbeitung und aller Subprozessoren geklärt?
  • [ ] Bei Drittlandtransfer: Rechtsgrundlage (SVK etc.) vorhanden und bewertet?
  • [ ] Freigabeprozess intern dokumentiert?

Für eine detaillierte und strategische Herangehensweise empfiehlt sich die Konsultation von Fachexperten, wie sie auch vom Bundesministerium des Innern und für Heimat für den Bereich der Cybersicherheit gefördert wird.

Anhang: Muster und Vorlagen für die Praxis

Zur direkten Anwendung in Ihrem Unternehmen finden Sie nachfolgend eine Beschreibung wichtiger Vorlagen. Eine individuelle Anpassung an Ihren spezifischen Fall ist unerlässlich.

  • Kurze Muster-AVV: Eine Vorlage, die alle Pflichtpunkte nach Art. 28 DSGVO enthält und als Grundlage für Vertragsverhandlungen mit Dienstleistern dienen kann.
  • Vorlage für Art. 30-Verzeichnis: Eine strukturierte Tabellenvorlage zur Erfassung und Dokumentation von Auftragsverarbeitungsverhältnissen im VVT.
  • DPIA-Triggerliste: Eine Checkliste mit Indikatoren, die Ihnen hilft zu entscheiden, wann beim Einsatz eines neuen externen Dienstleisters eine Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO erforderlich wird (z.B. bei großumfänglicher Verarbeitung sensibler Daten).

Die sorgfältige Auswahl, vertragliche Absicherung und laufende Kontrolle Ihrer Dienstleister ist kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Das Management des Themas externe Dienstleister und Datenschutz ist ein entscheidender Baustein für die Compliance und den Schutz Ihres Unternehmens vor Bußgeldern und Reputationsschäden.