• exkulpa
  • /
  • Blog
  • /
  • Datenschutz
  • /
  • Blitzleitfaden für das Datenschutzmanagement Ihrer externen Dienstleister Teil 1

Blitzleitfaden für das Datenschutzmanagement Ihrer externen Dienstleister Teil 1

10. Juli 2025 - Minuten Lesezeit

Kein Unternehmen kommt heutzutage umhin, externe Dienstleister einzusetzen. Oft haben diese im Rahmen der Erfüllung ihrer Leistung Bezug zu personenbezogenen Daten, selbst in Bereichen, wo es nicht offensichtlich ist – zum Beispiel bei der Wartung von Telefonanlagen oder Bürogeräten wie auch beim Hosting einer Webseite.

Die Hauptleistung des Dienstleisters regelt man in der Regel in Werk- oder Dienstleistungsverträgen. Zeitgleich sollten die Weichen für eine datenschutzkonforme Zusammenarbeit weit im Vorfeld, noch vor Beginn der Zusammenarbeit, gestellt werden.

Doch passiert das im hektischen Arbeitsalltag wirklich?  Wer denkt da an den datenschutzrechtlichen Aspekt? Bereits an dieser Stelle lauern die ersten Fallstricke, wenn man eine gesetzeskonforme Verarbeitung personenbezogener Daten nicht oder nicht ausreichend geregelt, wie es die DSGVO unter anderem im Artikel 28 auferlegt. Schnell finden sich Unternehmen als verantwortliche Stelle in einer Haftungssituation wieder.

  • Der nachfolgende Blitzleitfaden kann Ihnen als Hilfestellung dienen, das Datenschutzmanagement für Ihre Dienstleister in wenigen Schritten zu meistern!
Inhalt
Der Blick aus der Vogelperspektive - Dienstleister inventarisieren
Auf Herz und Nieren prüfen - Rechtliche Bewertung
…zum „Punkt“ kommen - Vertragsgestaltung

Der Blick aus der Vogelperspektive - Dienstleister inventarisieren

Der erste Schritt erfordert zugegebenermaßen etwas Fleißarbeit. Doch nur mit einer vollumfänglichen Inventarisierung Ihrer externen Dienstleister schließen Sie spätere (böse) Überraschungen aus. Listen Sie alle externen Dienstleister auf, die in Ihrem Auftrag personenbezogene Daten verarbeiten oder potentiellen Zugriff auf personenbezogene Daten haben, d.h. Dienstleister, bei denen nicht ausgeschlossen werden kann, dass Zugriff auf personenbezogene Daten besteht. In der Regel handelt es sich hierbei um outgesourcte Dienstleistungen oder Unternehmensbereiche.

TIPP: „Personenbezogene Daten“ sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Eine bestimmbare Person ist eine solche, die unmittelbar oder mittelbar identifiziert werden kann. Die Nennung des Namens ist somit nicht immer erforderlich. Die reine Möglichkeit der Identifikation reicht bereits aus (z.B. über eine IP-Adresse).

Informationen mit Bezug zu einer juristischen Person (z.B. einer GmbH) sind keine personenbezogenen Daten.  

Datenverarbeitung” meint das Speichern, Verändern, Übermitteln, Sperren und Löschen personenbezogener Daten. Legen Sie den Begriff der Datenverarbeitung im Hinblick auf die Inventarisierung Auflistung eher weit aus.

Auf Herz und Nieren prüfen - Rechtliche Bewertung

Sind alle Dienstleister inventarisiert, beginnt der wohl schwierigste Part. Es gilt nun, die Konstellation zu analysieren und zu beurteilen, ob sie eine den Datenschutz tangierende Vereinbarung erfordert. In den meisten Fällen ist das gegeben. Nachfolgend finden Sie eine kurze Zusammenfassung geeigneter Datenschutzvereinbarungen:

  • a. ein Vertrag zu Auftragsverarbeitung nach Artikel 28 DSGVO
    Bei dieser Fallgestaltung tragen Sie die Rolle des Verantwortlichen und Ihr Dienstleister die des Auftragsverarbeiters. Er erfasst, erhebt, speichert oder ändert personenbezogene Daten und agiert dabei streng nach Ihren Weisungen. Typische Fallkonstellationen hier sind externe IT-Wartungs- und Hosting-Dienstleistungen, Lohn- und Gehaltsabrechnung durch ein externes Unternehmen, Newsletter- oder und Callcenter-Dienstleister.Zugleich regelt Absatz 3  des Artikels 28 DSGVO die Vertragsinhalte, wie z.B. Art und Kategorien der zu verarbeitenden personenbezogenen Daten, Ihre Rechte- und Pflichten als Verantwortlicher einschließlich Weisungs- und Kontrollbefugnisse, den Umgang mit möglichen Subunternehmern und das Sicherstellen geeigneter technisch-organisatorischer Maßnahmen durch Ihren Dienstleister.
  • Tipp: Achten Sie darauf, dass der Vertrag zur Auftragsverarbeitung mit Ihrem Dienstleister die inhaltlichen Anforderungen des Artikel 28 (3) DSGVO vollständig erfüllt. Wir berichteten dazu in unserem Beitrag vom 17.3.2025. Nur so stellen Sie sicher, dass Sie durch eine gesetzeskonforme Vereinbarung Ihr Unternehmen im Ernstfall enthaftet.  
  • b. gemeinsame Verantwortlichkeit nach Artikel 26 DSGVO (Joint Controllership) 
    Ausschlaggebend bei dieser Konstellation ist, dass zwei Parteien beschließen, gemeinsam über Zwecke und Mittel bei Verarbeitung personenbezogener Daten zu bestimmen. Spätestens nach dem Urteil des EUGH vom 05.06.2018, das besagt, dass nicht nur Facebook allein, sondern auch der Betreiber einer Fanpage gemeinsam verantwortlich sind, ist die Ausgestaltung der gemeinsamen Verantwortlichkeit ins Blickfeld gerückt. Die Gewichtung der Verantwortlichkeit sowie die Rollen und Aufgaben müssen dabei nicht gezwungenermaßen gleichmäßig aufgeteilt sein. Vielmehr bedarf es einer lückenlosen internen Regelung, welcher der Beteiligten welchen Pflichten zu erfüllen hat. So wird z.B. festgehalten wer Betroffenenrechte wie Auskunftsersuchen oder Löschbegehren wahrnimmt und wer Informationspflichten gemäß Artikel 13 bzw. 14 DSGVO nachkommt. 
  • c. Vertraulichkeitsverpflichtung   
    Sollten Mitarbeiter externer Dienstleister Zugriff oder auch nur potentiellen Zugriff zu Ihren personenbezogenen Daten haben und die oben beschriebenen Fallkonstellationen nach sorgfältiger Überprüfung ausscheiden, ist es ratsam, eine Regelung zur Vertraulichkeit und Einhaltung der Datenschutz-Grundsätze zu treffen.
  • Tipp: Die Orientierungshilfe des Bayrischen Landesbeauftragten für Datenschutz bietet Ihnen einen intensiven Einblick in das Thema "Gemeinsame Verantwortlichkeit".
Joint Controllership

…zum „Punkt“ kommen - Vertragsgestaltung

Der Abschluss einer geeigneten Datenschutzschutzvereinbarung mit Ihrem Dienstleister erspart Ihnen Unannehmlichkeiten wie hohe Bußgelder und enthaftet Sie als Geschäftsführung.

Aus der langjährigen Datenschutzpraxis der exkulpa gmbh wissen wir, dass das "Greifen" des Themas Dienstleister-Managements und der Weg zur Findung und dem Abschluss geeigneter Vereinbarung oft steinig ist.

Ein "Dauerbrenner" sind Uneinigkeiten bei der Beurteilung einer korrekten und gesetzeskonformen Regelung zwischen dem Auftraggeber und Dienstleister. Es gibt zwar klassische Fälle der Auftragsverarbeitung und gemeinsamer Verantwortlichkeit - wie meistert man die Situation bei völlig konträren Sichtweisen auf die Datenverarbeitung durch den Dienstleister?  

Wie wägt man als Unternehmen an sich das Haftungsrisiko ab, sollte man sich auf eine Vereinbarung einlassen, die die Aufsichtsbehörde nicht empfiehlt oder billigt? Oder womöglich gar keine abschließt, um einem Konflikt mit dem (neuen) aus dem Weg zu gehen? Oder scheitert man aus Auftraggeber bereits an der Beurteilung der Konstellation?

TIPP: Ziehen Sie bereits bei der Vorauswahl des Dienstleisters Ihren Datenschutzbeauftragten zu Rate. Sie haben noch keinen? Jetzt ein unverbindliches Angebot für die Bestellung eines externen Datenschutzbeauftragten einholen

Wir von der exkulpa gmbh unterstützen Sie bei der Beantwortung der anfallenden Fragen und begleiten Sie auf dem Weg, lückenlose Datenschutzregelungen mit Ihren externen Dienstleistern zu treffen, die Sie enthaften. 

Vorschau

Lesen Sie in unserem bald erscheinenden Artikel, wie Sie den Wechsel von Dienstleistern aus Datenschutzsicht optimal bewältigen und in bestehenden Geschäftsbeziehungen die Datenschutzkonformität einhalten.

Inga Reifenrath

Beraterin


Mehr zu Frau Reifenrath

Inga Reifenrath
Weitere blogartikel

AV Vertrag nach DSGVO: Ihr Schlüssel zum sicheren Datenschutz

Artikelreihe BSI IT-Grundschutz – Business Continuity Management

Artikelreihe BSI IT-Grundschutz – Risikoanalyse im ISMS

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}

Sie haben Beratungsbedarf oder wünschen ein Angebot zum Datenschutz?

Jetzt AnfrageN
>