Externe Dienstleister und DSGVO: Checkliste und Musterklauseln

Externe Dienstleister und DSGVO: Checkliste und Musterklauseln

Inhaltsverzeichnis

Einleitung: Bedeutung externer Dienstleister unter der DSGVO

In der modernen Unternehmenslandschaft ist die Auslagerung von Geschäftsprozessen an Spezialisten nicht nur üblich, sondern oft auch wirtschaftlich notwendig. Von Cloud-Speicher über Lohnbuchhaltung bis hin zu Marketing-Automatisierung – externe Dienstleister und DSGVO sind untrennbar miteinander verbunden. Sobald ein Unternehmen personenbezogene Daten durch einen Dritten verarbeiten lässt, greifen die strengen Vorgaben der Datenschutz-Grundverordnung (DSGVO). Die korrekte Auswahl, vertragliche Bindung und fortlaufende Kontrolle dieser Partner ist keine reine Formalität, sondern eine zentrale Compliance-Aufgabe für jeden Verantwortlichen. Dieser Leitfaden bietet praxisorientierte Hilfestellungen, Musterklauseln und Checklisten, um die Zusammenarbeit mit externen Dienstleistern datenschutzkonform zu gestalten.

Rechtliche Grundlagen kompakt: Art. 28, Art. 32 und Art. 9 DSGVO

Um die Beziehung zwischen Unternehmen und externen Dienstleistern DSGVO-konform zu regeln, sind vor allem drei Artikel der Verordnung von zentraler Bedeutung:

  • Artikel 9 DSGVO (Verarbeitung besonderer Kategorien personenbezogener Daten): Werden besonders sensible Daten wie Gesundheitsdaten, biometrische Daten oder Informationen über die ethnische Herkunft durch einen Dienstleister verarbeitet, gelten verschärfte Anforderungen. Die Schutzmaßnahmen müssen hier besonders robust sein.
  • Artikel 28 DSGVO (Auftragsverarbeiter): Dies ist der Kernartikel für die Auftragsverarbeitung. Er schreibt vor, dass die Verarbeitung durch einen Dienstleister auf der Grundlage eines Vertrags oder eines anderen Rechtsinstruments erfolgen muss. Dieser Vertrag, der sogenannte Auftragsverarbeitungsvertrag (AVV), muss spezifische Inhalte aufweisen, um die Rechte der betroffenen Personen zu schützen und die Pflichten beider Parteien klar zu definieren.
  • Artikel 32 DSGVO (Sicherheit der Verarbeitung): Dieser Artikel verpflichtet sowohl den Verantwortlichen als auch den Auftragsverarbeiter, geeignete technische und organisatorische Maßnahmen (TOMs) zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Die Auswahl des Dienstleisters muss daher auch eine Bewertung seiner Sicherheitsstandards umfassen.

Definitionsfragen: Verantwortlicher, Auftragsverarbeiter, Unterauftragsverarbeiter

Eine klare Rollenverteilung ist die Basis für eine saubere datenschutzrechtliche Zusammenarbeit.

Verantwortlicher (Controller)

Der Verantwortliche ist die natürliche oder juristische Person, Behörde oder Einrichtung, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Einfach gesagt: Das Unternehmen, das den Dienstleister beauftragt und den Zweck der Datenverarbeitung vorgibt.

Auftragsverarbeiter (Processor)

Der Auftragsverarbeiter verarbeitet personenbezogene Daten im Auftrag des Verantwortlichen. Er handelt weisungsgebunden und darf die Daten nicht für eigene Zwecke nutzen. Typische Beispiele sind Cloud-Anbieter, externe Rechenzentren oder Agenturen für den Newsletter-Versand.

Unterauftragsverarbeiter (Sub-processor)

Ein Unterauftragsverarbeiter ist ein Dienstleister, den der Auftragsverarbeiter seinerseits beauftragt, um bestimmte Verarbeitungsaufgaben zu erfüllen. Der Einsatz von Unterauftragsverarbeitern bedarf stets der vorherigen Genehmigung durch den ursprünglichen Verantwortlichen.

Wann ist ein Auftragsverarbeitungsvertrag (AVV) zwingend erforderlich? Praxisfälle und Abgrenzung

Ein Auftragsverarbeitungsvertrag (AVV), auf Englisch auch Data Processing Agreement (DPA) genannt, ist immer dann notwendig, wenn eine weisungsgebundene Verarbeitung personenbezogener Daten im Auftrag stattfindet. Der Kern der Dienstleistung ist die Datenverarbeitung selbst.

Zwingend erforderlich bei:

  • Hosting-Dienstleister: Speicherung von Kundendaten auf externen Servern.
  • Software-as-a-Service (SaaS): Nutzung von Cloud-Anwendungen für CRM, Personalverwaltung oder Projektmanagement.
  • Externe Lohnbuchhaltung: Verarbeitung von Mitarbeiterdaten zur Gehaltsabrechnung.
  • Newsletter-Versandtools: Verwaltung von E-Mail-Adressen und Versand von Marketing-Mails.
  • Aktenvernichtungsdienste: Physische oder digitale Vernichtung von Datenträgern mit personenbezogenen Daten.

Kein AVV erforderlich bei (Abgrenzung):

  • Fachleistungen mit eigener Verantwortung: Steuerberater, Rechtsanwälte oder Wirtschaftsprüfer sind in der Regel selbst Verantwortliche für die Datenverarbeitung. Hier liegt keine weisungsgebundene Auftragsverarbeitung vor.
  • Reine Transport- oder Postdienste: Sofern der Dienstleister keinen inhaltlichen Zugriff auf die Daten hat oder haben soll (z.B. ein versiegeltes Paket).
  • Reinigungsdienste oder Handwerker: Solange der Zugang zu Daten nur zufällig und nicht Teil der Kerndienstleistung ist.

Pflichtinhalte eines Auftragsverarbeitungsvertrags (AVV) — Musterklauseln

Gemäß Art. 28 Abs. 3 DSGVO muss ein AVV folgende Punkte regeln. Hier finden Sie die Pflichtinhalte mit praxisnahen Musterformulierungen:

  • Gegenstand und Dauer der Verarbeitung:Musterklausel: „Gegenstand dieses Vertrags ist die Durchführung von [Art der Dienstleistung, z.B. Lohnbuchhaltungsdienstleistungen] durch den Auftragnehmer für den Auftraggeber. Der Vertrag beginnt am [Datum] und läuft auf unbestimmte Zeit.“
  • Art und Zweck der Verarbeitung:Musterklausel: „Zweck der Verarbeitung ist die [Zweckbeschreibung, z.B. Erstellung der monatlichen Gehaltsabrechnungen]. Verarbeitet werden folgende Datenarten: [Stammdaten, Lohndaten, Sozialversicherungsdaten] von der Betroffenenkategorie der Mitarbeiter.“
  • Rechte und Pflichten des Verantwortlichen:Musterklausel: „Der Auftraggeber ist für die Rechtmäßigkeit der Datenerhebung und die Wahrung der Betroffenenrechte allein verantwortlich. Er erteilt alle Weisungen schriftlich oder in einem dokumentierten elektronischen Format.“
  • Weisungsgebundenheit des Auftragsverarbeiters:Musterklausel: „Der Auftragnehmer verarbeitet personenbezogene Daten ausschließlich auf dokumentierte Weisung des Auftraggebers.“
  • Vertraulichkeitsverpflichtung:Musterklausel: „Der Auftragnehmer stellt sicher, dass alle zur Verarbeitung der Daten befugten Personen zur Vertraulichkeit verpflichtet wurden oder einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen.“
  • Technische und organisatorische Maßnahmen (TOMs):Musterklausel: „Der Auftragnehmer trifft die in Anhang X zu diesem Vertrag detailliert beschriebenen technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO.“
  • Regelungen zu Unterauftragsverarbeitern:Musterklausel: „Der Einsatz von Unterauftragsverarbeitern bedarf der vorherigen schriftlichen Genehmigung des Auftraggebers. Eine aktuelle Liste der genehmigten Unterauftragsverarbeiter befindet sich in Anhang Y.“
  • Unterstützung des Verantwortlichen:Musterklausel: „Der Auftragnehmer unterstützt den Auftraggeber mit geeigneten technischen und organisatorischen Maßnahmen bei der Erfüllung seiner Pflichten zur Beantwortung von Anträgen auf Wahrnehmung der Betroffenenrechte.“
  • Rückgabe oder Löschung der Daten nach Vertragsende:Musterklausel: „Nach Beendigung des Vertrags wird der Auftragnehmer alle personenbezogenen Daten nach Wahl des Auftraggebers entweder löschen oder zurückgeben.“
  • Kontroll- und Auditrechte:Musterklausel: „Der Auftraggeber hat das Recht, nach angemessener Vorankündigung und während der üblichen Geschäftszeiten die Einhaltung der vertraglichen und gesetzlichen Pflichten durch Inspektionen zu überprüfen oder durch Dritte überprüfen zu lassen.“

Technische und organisatorische Maßnahmen (TOMs): Konkrete Beispiele

Die im AVV referenzierten TOMs sind das Herzstück der Datensicherheit. Sie müssen konkret und nachvollziehbar sein. Beispiele umfassen:

  • Pseudonymisierung und Verschlüsselung: Verschlüsselung von Festplatten (at-rest) und Datenübertragungen (in-transit) mittels aktueller Standards wie TLS 1.3.
  • Vertraulichkeit: Strenge Zugangskontrollen (Need-to-know-Prinzip), Zwei-Faktor-Authentifizierung (2FA) und Vertraulichkeitsvereinbarungen mit Mitarbeitern.
  • Integrität: Einsatz von Hash-Funktionen zur Sicherstellung der Datenunverfälschtheit und Protokollierung von Änderungen.
  • Verfügbarkeit und Belastbarkeit: Regelmäßige Backups, redundante Systemauslegung und Notfallpläne zur schnellen Wiederherstellung.
  • Verfahren zur regelmäßigen Überprüfung: Regelmäßige Penetrationstests, Sicherheitsaudits und Überprüfung der Wirksamkeit der implementierten Maßnahmen.

Risikobasierte Prüfliste 2025: Lieferantenauswahl, Due Diligence und Scorecard

Eine sorgfältige Auswahl ist entscheidend. Für Ihre Strategie ab 2025 sollten Sie einen strukturierten Prozess etablieren.

Due-Diligence-Prüfung

Stellen Sie potenziellen Dienstleistern vor Vertragsabschluss einen Fragebogen zur Verfügung. Wichtige Prüfpunkte sind:

  • Liegt eine Zertifizierung nach ISO 27001 oder ein anderes anerkanntes Gütesiegel vor?
  • Wo befinden sich die Rechenzentren (EU/EWR oder Drittland)?
  • Existiert ein dokumentierter Prozess für den Umgang mit Datenschutzvorfällen?
  • Werden die Mitarbeiter regelmäßig zum Datenschutz geschult?
  • Können Nachweise über die implementierten TOMs vorgelegt werden?
  • Werden Unterauftragsverarbeiter eingesetzt und wie werden diese kontrolliert?

Scorecard-Modell zur Bewertung

Bewerten Sie die Antworten anhand eines einfachen Scorecard-Modells (z.B. 1-5 Punkte pro Frage) und gewichten Sie die Kriterien nach Relevanz. Besonders die Verarbeitung sensibler Daten (Art. 9 DSGVO) oder ein Drittlandtransfer erfordern eine höhere Gewichtung der Sicherheits- und Compliance-Aspekte.

Drittlandtransfers: Der sichere Weg über die EU-Grenzen

Die Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) ist nur unter bestimmten Voraussetzungen zulässig. Die Zusammenarbeit mit externen Dienstleistern und die DSGVO wird hier besonders komplex.

Angemessenheitsbeschlüsse

Für einige Länder hat die EU-Kommission festgestellt, dass sie ein angemessenes Datenschutzniveau bieten (z.B. Schweiz, Kanada, Japan). Ein Transfer in diese Länder ist ohne weitere Garantien möglich.

Standardvertragsklauseln (SCCs) und ergänzende Maßnahmen

Für die meisten anderen Länder, insbesondere die USA, sind Standardvertragsklauseln (auf Englisch: Standard Contractual Clauses oder SCCs) das gängigste Instrument. Nach dem Schrems-II-Urteil des EuGH müssen Unternehmen zusätzlich eine Einzelfallprüfung (Transfer Impact Assessment) durchführen und bei Bedarf ergänzende Maßnahmen (z.B. starke Verschlüsselung) ergreifen, um den Schutz der Daten zu gewährleisten.

Verbindliche interne Datenschutzvorschriften (BCRs)

Große, international tätige Konzerne können Binding Corporate Rules (BCRs) nutzen. Dies sind von den Datenschutzbehörden genehmigte, unternehmensinterne Regelungen für den Datentransfer innerhalb der Unternehmensgruppe.

Ein risikobasiertes Matrixmodell kann hier helfen: Bewerten Sie das Risiko basierend auf dem Zielland, der Art der Daten und den implementierten Schutzmaßnahmen, um die Notwendigkeit ergänzender Maßnahmen zu bestimmen.

Sektorielle Praxisbeispiele: DSGVO im Branchenfokus

Gesundheitswesen: Umgang mit Daten nach Art. 9 DSGVO

Eine Arztpraxis, die eine externe Plattform für Online-Terminbuchungen nutzt, verarbeitet Gesundheitsdaten. Der Dienstleister muss extrem hohe Sicherheitsstandards erfüllen (z.B. Ende-zu-Ende-Verschlüsselung). Der AVV muss die besonderen Schutzanforderungen des Art. 9 DSGVO explizit adressieren und die TOMs müssen dem hohen Risiko entsprechen.

Immobilienverwaltung: Mieter- und Eigentümerdaten

Eine Immobilienverwaltung, die eine Cloud-Software zur Verwaltung von Mietverträgen und Abrechnungen einsetzt, muss einen AVV mit dem Softwareanbieter schließen. Besondere Aufmerksamkeit gilt der Zweckbindung: Der Anbieter darf die Daten der Mieter und Eigentümer unter keinen Umständen für eigene Zwecke, wie z.B. Marketing, verwenden.

Monitoring und Audit: Vertrauen ist gut, Kontrolle ist besser

Mit dem Abschluss des AVV endet die Verantwortung nicht. Der Verantwortliche bleibt verpflichtet, die Einhaltung der vertraglichen und gesetzlichen Vorgaben zu kontrollieren.

Typische Kontrollfragen für ein jährliches Review:

  • Haben sich die TOMs des Dienstleisters geändert? Entsprechen sie noch dem Stand der Technik?
  • Wurden neue Unterauftragsverarbeiter hinzugezogen und wurde dies korrekt kommuniziert?
  • Gab es im letzten Jahr Sicherheitsvorfälle beim Dienstleister? Wie wurde darauf reagiert?
  • Liegen aktuelle Zertifikate oder Testate vor?

Halten Sie die Ergebnisse dieser Überprüfungen schriftlich in einem Protokoll fest, um Ihrer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO nachzukommen.

Vorbereitung auf Datenschutzvorfälle: Wenn es doch passiert

Im Falle einer Datenpanne beim Dienstleister ist schnelles und koordiniertes Handeln gefragt. Der AVV muss klare Regelungen enthalten:

  • Unverzügliche Meldung: Der Auftragsverarbeiter muss den Verantwortlichen ohne schuldhaftes Zögern über eine Verletzung des Schutzes personenbezogener Daten informieren.
  • Informationspflicht: Die Meldung muss alle relevanten Informationen enthalten, damit der Verantwortliche seinerseits die 72-Stunden-Meldepflicht gegenüber der Aufsichtsbehörde (Art. 33 DSGVO) einhalten kann.
  • Unterstützung: Der Dienstleister muss den Verantwortlichen bei der Analyse und Behebung des Vorfalls sowie bei der Benachrichtigung betroffener Personen (Art. 34 DSGVO) unterstützen.

Anpassung bestehender Verträge: Änderungsprozess und Nachtragsformulierungen

Datenschutz ist ein dynamisches Feld. Ändern sich die Verarbeitungstätigkeiten, die rechtlichen Rahmenbedingungen oder die eingesetzte Technologie, muss auch der AVV angepasst werden. Dies geschieht in der Regel über einen schriftlichen Nachtrag zum bestehenden Vertrag.

Musterformulierung für einen Nachtrag: „In Ergänzung zum Auftragsverarbeitungsvertrag vom [Datum] vereinbaren die Parteien die folgenden Änderungen: Der Anhang X (Technische und Organisatorische Maßnahmen) wird durch den neuen Anhang Xa ersetzt. Alle übrigen Bestimmungen des ursprünglichen Vertrags behalten ihre Gültigkeit.“

Anlagen: Praxis-Tools zum direkten Einsatz

Dieser Leitfaden bietet die konzeptionelle Grundlage für Ihre Compliance. Folgende Werkzeuge sollten Sie basierend auf den hier besprochenen Inhalten für Ihr Unternehmen erstellen:

  • Druckbare Checkliste zur Lieferantenauswahl: Eine zusammengefasste Liste der Due-Diligence-Fragen zur standardisierten Bewertung neuer Dienstleister.
  • Kurz-AVV-Muster: Ein internes Muster, das die wesentlichen, in diesem Artikel genannten Klauseln enthält und als Verhandlungsbasis dient.
  • Prüfmatrix für Drittlandtransfers: Eine Matrix zur systematischen Bewertung von Risiken bei Datentransfers in Länder ohne Angemessenheitsbeschluss, die Faktoren wie Land, Datenkategorie und Schutzmaßnahmen berücksichtigt.

Glossar, weiterführende Links und rechtliche Hinweise

Glossar

  • AVV: Auftragsverarbeitungsvertrag; der rechtlich vorgeschriebene Vertrag zwischen einem Verantwortlichen und einem Auftragsverarbeiter.
  • DSGVO: Datenschutz-Grundverordnung; die zentrale europäische Verordnung zum Schutz personenbezogener Daten.
  • SCCs: Standardvertragsklauseln; von der EU-Kommission genehmigte Vertragsvorlagen für den Datentransfer in Drittländer.
  • TOMs: Technische und organisatorische Maßnahmen; Sicherheitsvorkehrungen zum Schutz von Daten.

Weiterführende Links

Für vertiefende Informationen und offizielle Verlautbarungen empfehlen wir die Webseiten der folgenden Institutionen:

Rechtlicher Hinweis: Dieser Artikel dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für eine verbindliche rechtliche Einschätzung Ihres spezifischen Falls konsultieren Sie bitte einen spezialisierten Rechtsanwalt oder Ihren Datenschutzbeauftragten.