Ob Buchhaltung, IT-Services oder Cloud-Hosting: Viele Unternehmen lagern Teilprozesse aus. Doch das bedeutet oft, dass externe Dienstleister personenbezogene Daten verarbeiten. Genau hier greifen die DSGVO Outsourcing Vorgaben. Du bleibst Verantwortlicher, der Dienstleister wird zum Auftragsverarbeiter (Art. 28 DSGVO). In diesem Artikel erfährst du, wann genau du einen Auftragsverarbeitungsvertrag (AVV) brauchst, worauf du bei der Anbieterwahl achten solltest (Sicherheit, Subunternehmer) und wie du trotz Outsourcing die volle Kontrolle über deine Daten behältst. Denn Outsourcing entlastet dich nur dann, wenn Datenschutz sauber geregelt ist.
Bulletpoints – DSGVO Outsourcing Vorgaben
- Auftragsverarbeitungsvertrag: Pflicht bei externen Datenverarbeitern
- Subunternehmer: Nur mit Zustimmung, Kettenverträge beachten
- Sicherheitsstandards: ISO 27001, regelmäßige Audits
- Serverstandort & Drittland-Transfer: ggf. Standardvertragsklauseln
1. Wann ist Outsourcing eine Auftragsverarbeitung?
- Definition: Der Dienstleister verarbeitet Daten „in deinem Auftrag“ und nach deinen Weisungen. Er hat keine eigene Entscheidungsbefugnis über Zweck und Mittel.
- Beispiele: Hosting, Callcenter, Newsletter-Service, Buchhaltung (Lohnabrechnung).
- Gemeinsame Verantwortung: Anders, wenn der Dienstleister selbst über Zweck/Mittel entscheidet (z. B. externer Steuerberater). Dann ist es keine reine Auftragsverarbeitung.
2. Kerninhalt eines Auftragsverarbeitungsvertrags (AVV)
- Art und Zweck: Welche Daten, wofür?
- Dauer: Während der Vertragslaufzeit + Löschregelungen nach Ende.
- Weisungsrecht: Du gibst vor, wie die Daten verarbeitet werden.
- Sicherheitsmaßnahmen (TOMs): Verschlüsselung, Zugriffsrechte, Backups.
- Subunternehmer: Dienstleister darf nicht ohne Zustimmung weitere Firmen beauftragen.
- Rückgabe/Löschpflicht: Daten sind zu löschen oder zurückzugeben, wenn du es verlangst.
3. Dienstleisterauswahl und Due Diligence
- Referenzen: Prüfe, ob der Anbieter Erfahrungen mit DSGVO-Projekten hat.
- Zertifizierungen: ISO 27001 oder andere Nachweise für IT-Sicherheit.
- Serverstandorte: Achte darauf, ob Daten in der EU bleiben oder ob Standardvertragsklauseln nötig sind (Drittland).
- Audit-Rechte: Der Vertrag sollte dir ermöglichen, Audits durchzuführen oder Berichte anzufordern.
4. Subunternehmer-Regelungen
Viele Anbieter arbeiten selbst wieder mit Drittanbietern (z. B. Cloud-Rechenzentren). Die DSGVO verlangt Transparenz:
- Genehmigungspflicht: Du kannst vorschreiben, dass Subunternehmer erst nach deiner Zustimmung eingeschaltet werden dürfen.
- Kettenverträge: Der Auftragsverarbeiter muss dieselben DSGVO-Pflichten an Subunternehmer weitergeben.
5. Typische Outsourcing-Beispiele
- IT-Hosting: Webshops, Datenbanken. -> Abschluss AVV, Prüfung der Sicherheitskonzepte.
- Buchhaltung/Lohnabrechnung: Sensible Daten zu Gehältern, Krankmeldungen -> Strenge TOMs, Vertraulichkeitsabsprachen.
- Marketing-Agentur: Zugriff auf Kundendaten für Mailings -> Opt-in, ADV-Vertrag, Löschfristen regeln.
6. Häufige Fehler
- Kein ADV-Vertrag: „Wir haben doch E-Mail-Verkehr, das reicht“ – ungenügend, Bußgelder drohen.
- Kein Monitoring: Man schließt den Vertrag, überprüft aber nie die Sicherheitsmaßnahmen.
- Unsichere Drittstaaten: Datentransfer in die USA oder andere Regionen ohne Standardvertragsklauseln.
- Unklare Löschpflicht: Am Ende des Vertrags kann der Dienstleister deine Daten behalten, wenn’s nicht geregelt ist.
FAQ – DSGVO Outsourcing Vorgaben
Hat der Dienstleister eigenständige Zwecke und Mittel? Dann ist er eigener Verantwortlicher. Handelt er nur nach deinen Weisungen? Dann AVV.
Ja, laut DSGVO (Art. 28). Digitale Signatur / PDF reicht, aber es braucht eine klare, formale Vereinbarung.
Ja, wenn Standardvertragsklauseln oder ein gleichwertiges Schutzniveau nachgewiesen werden. Nach Schrems II kann es kompliziert werden, zusätzliche Garantien könnten nötig sein.
