Heute werfen wir einen Blick auf Dienstleister-Audits und worauf in diesem Zusammenhang zu achten ist.
Spielregeln
Laut Art. 28 Abs. 1 Datenschutz-Grundverordnung (DSGVO) arbeitet ein Verantwortlicher nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen durchgeführt werden.
Um dieser Pflicht nachkommen zu können, empfehlen wir in der Beratungspraxis – neben der Prüfung des Vertrages zur Auftragsverarbeitung sowie der technischen organisatorischen Maßnahmen des Dienstleisters vor Vertragszeichnung – die Erstellung eines Auditkonzeptes und eine regelmäßige Auditierung von eingesetzten Auftragsverarbeitungs-Dienstleistern.
Denn gemäß Art. 28 Abs. 3 lit. h DSGVO sind Auftragsverarbeiter ausdrücklich verpflichtet, dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung Ihrer Pflichten bereitzustellen und die Durchführung von Audits – einschließlich Inspektionen – durch den Verantwortlichen oder einen von ihm beauftragten Prüfer zu ermöglichen und zu unterstützen.
Diese zentrale Kontrollpflicht des Verantwortlichen wird durch die Vertragsparteien oft hinsichtlich des Prüfungszeitraums, etwaiger Informationspflichten oder Zertifizierungen etc. vertraglich weiter konkretisiert.
Die Mitwirkung an einem solchen Audit ist daher keine freiwillige Leistung, sondern eine gesetzlich verpflichtende Nebenleistung im Rahmen der Auftragsverarbeitung und meist auch eine vertragliche Pflicht.
Der Prüfmaßstab berücksichtigt u. a. die Grundsätze der DSGVO wie Datenminimierung, Zweckbindung, Umsetzung von Betroffenenrechten, Transparenz, Vertraulichkeit, Integrität, Verfügbarkeit etc. sowie die Bewertung des Datenschutzmanagements des zu auditierenden Auftragsverarbeiters.
Spielerauswahl
Setzt Ihr zu auditierender Dienstleister im Rahmen der Auftragsverarbeitung nun wiederum selbst einen weiteren Dienstleister (sog. Unterauftragsverarbeiter) ein, stellt sich schnell die Frage, wie weit die Kontrollpflichten des Verantwortlichen denn eigentlich gehen. Zum konkreten Umfang berichteten wir bereits hier.
Sollten Sie sich zudem fragen, welche Dienstleister „zuerst“ auditiert werden sollten, so bieten sich in der Regel Dienstleister an, die besonders sensible personenbezogene Daten oder eine große Menge an personenbezogenen Daten im Auftrag verarbeiten (bspw. Personaldaten im Rahmen einer HR-Software).
Regelverstöße
Eine Motivation für den Dienstleister, sich um geeignete technische und organisatorische Maßnahmen zu bemühen, seinen datenschutzrechtlichen Pflichten nachzukommen und den Verantwortlichen tatkräftig bei der Abwicklung des Audits zu unterstützen, können die gesetzlichen Haftungsregelungen in Art. 82 DSGVO sowie die Sanktionsvorschriften in Art. 83 DSGVO liefern, die neben den Verantwortlichen auch den Auftragsverarbeiter treffen können. Wir berichteten u. a. hier darüber.
Spielende
Das Audit sollte zu Dokumentationszwecken mit einem Auditbericht enden, aus dem sich zum einen der auditierte Dienstleister, die Auditteilnehmer, der konkrete Prüfungsumfang, das Ergebnis sowie ggf. festgestellter Optimierungsbedarf technischer organisatorischer Maßnahmen beim Dienstleister ergeben.
Fazit
Nehmen beide Parteien eines datenschutzrechtlichen Audits ihre datenschutzrechtlichen Pflichten jeweils ernst und optimiert der Dienstleister ggf. vom Verantwortlichen im Rahmen des Audits festgestellte Beanstandungen, so gibt es – gerade vor dem Hintergrund der Datenschutzkonformität – keinen Grund zum Ärgern, sondern am Ende eigentlich nur Gewinner.
24. Februar 2026 @ 13:15
Wie muss man vorgehen, wenn ein Auftragnehmer aus dem hohen Norden Deutschlands einen Unterauftragnehmer in Sizilien beauftragt? Wie ist es da mit der Verhältnismaßigkeit gegenüber des Auditzweckes?
16. Februar 2026 @ 14:04
Vielen Dank,
für diesen anschaulichen Bericht. Das wird mir bei zukünftigen Diskussionen helfen, den verantwortlichen Auftraggebern und Auftragnehmern Ihre Pflichten zu verdeutlichen.