Dienstleister

Vier Holzklötzchen mit Perosnen aufgedruckt in einer Reihe mit Pfeilen in eine Richtung.

Informationssicherheit entlang der Lieferkette: Strukturiertes Management von Dienstleistern

Die Nutzung von Cloud-Angeboten, Softwarelösungen sowie spezialisierten Fachfirmen führt dazu, dass heute zentrale Geschäftsprozesse in wesentlichen Teilen durch externe Dienstleistungen unterstützt werden. Dadurch entstehen Abhängigkeiten, die natürlich den Geschäftsbetrieb, aber insbesondere auch die Informationssicherheit, unmittelbar beeinflussen. Schwachstellen oder Ausfälle bei einem Dienstleister oder Lieferanten (nachfolgend zusammengefasst als „Dienstleister“) können unmittelbare Auswirkungen auf das eigene Unternehmen […]

Nagihan Emral | 10. April 2026 | Informationssicherheit | Bewertung, Cloud, Dienstleister, DORA, DSGVO, Informationssicherheit, ISO/IEC 27001, Kritikalität, Lieferkette, NIS-2-Richtlinie, Unternehmen

Eine Frau mit Headset an ihrem Schreibtisch im Gespräch.

Die Stimme als biometrisches Datum

Transkriptions-Tools, KI-gestützte Sprachassistenten, Live-Dolmetscher oder Voice-Generatoren sind längst keine Zukunftsvision mehr, sondern fester Bestandteil unseres beruflichen wie privaten Alltags. Was auf den ersten Blick als bloßer Effizienzgewinn erscheint, wirft bei näherer Betrachtung grundlegende datenschutzrechtliche Fragen auf, denn all diesen Technologien ist eines gemein: Sie verarbeiten die menschliche Stimme. Der vorliegende Beitrag setzt sich mit der […]

Nadine Rosenberger | 8. April 2026 | Beschäftigtendatenschutz, Künstliche Intelligenz – KI | Aufsichtbehörde, biometrisches Datum, Datenkategorien, Datenschutz-Folgenabschätzung, Dienstleister, DSGVO, DSK, Identifizierung, Künstliche Intelligenz, LG Berlin, Positionspapier, Software, Stimmabdruck, Voiceprint | 1 Kommentar

Ein Finger schiebt ein Holzklötzchen mit einem Schloss-Symbol aus einer Reihe nach vorne, die anderen Klötzchen sind mit Personen-Icons bedruckt.

HR-Daten vs. Non-HR-Daten: Wenn die DPF-Zertifizierung zur Haftungsfalle für Arbeitgeber wird

Wer US‑Dienstleister beauftragen will und bereits mit dem Begriff des EU‑US Data Privacy Framework (DPF) und der dazugehörigen Suchseite umgehen kann, ist im Nerdwissen des Datenschutzes schon ziemlich weit vorn. Die „Wer wird Millionär?“-Frage könnte dann lauten: Was ist der Unterschied zwischen HR‑ und Non‑HR‑Daten bei der Selbstzertifizierung nach dem DPF – und warum kann […]

Olaf Rossow | 2. April 2026 | Beschäftigtendatenschutz, Compliance | Arbeitgeber, Arbeitnehmer, Art. 88 DSGVO, BayLDA, Compliance, Data Privacy Framework, Datenexporteur, Datenkategorien, Datenverarbeitung, Dienstleister, DPF, EU, HR-Daten, Non-HR-Daten, Personaldaten, US, Zertifzierung

Mensch ärgere dich nicht Spielbrett mit Spielfiguren und Würfel.

Dienstleister ärgere dich nicht – Dienstleister-Audits

Heute werfen wir einen Blick auf Dienstleister-Audits und worauf in diesem Zusammenhang zu achten ist. Spielregeln Laut Art. 28 Abs. 1 Datenschutz-Grundverordnung (DSGVO) arbeitet ein Verantwortlicher nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen durchgeführt werden. Um dieser Pflicht nachkommen zu können, empfehlen wir in der Beratungspraxis – neben […]

Sarah Oppmann | 6. Februar 2026 | Allgemein | Audit, Auftragsverarbeiter, Datenschutzaudit, Dienstleister, Dienstleister-Audit, DSGVO, Verantwortlicher | 2 Kommentare

Holzwürfel mit einem aufgedruckten Person-Icon sind durch Linien kreuz und quer miteinander verbunden.

Unzulässige E-Mail-Werbung – trotz (indirektem) LinkedIn-Kontakt?

Die Zusendung von Werbung per E-Mail ist grundsätzlich nur mit vorheriger, ausdrücklicher Einwilligung zulässig. Diese Rechtslage hierzulande dürfte mittlerweile allseits bekannt sein. Unternehmen sollten dementsprechend ihr Marketing bzw. ihren Vertrieb auf ein dokumentiertes Einwilligungsmanagement abstellen und transparent über die Datenverarbeitung informieren. Nur in besonderen Ausnahmefällen kann hiervon abgewichen werden, wie z. B. bei dem umstrittenen […]

Conrad S. Conrad | 5. Februar 2026 | Allgemein | AG Düsseldorf, Bestandskundenprivileg, Dienstleister, E-Mail Werbung, E-Mail-Marketing, Einwilligung, Funktionspostfach, Kontakt, LinkedIn, unerlaubte Werbung, Unternehmen, UWG

Die Flaggen der EU und der USA vor blauem Himmel.

Ein Leben ohne US-Dienstleister – möglich, aber sinnlos?

Im September berichteten wir über den Chefankläger Karim Khan des Internationalen Strafgerichtshofs (IStGH), der auf die Sanktionsliste der USA geriet und seine E-Mails bei Microsoft nicht mehr abrufen konnte. Der französische Richter Nicolas Guillou vom IStGH, der ebenfalls auf der Sanktionsliste steht, schildert eindrücklich in einem Interview mit Le Monde, wie ein Leben aussieht, wenn […]

Olaf Rossow | 8. Januar 2026 | Allgemein | Datentransfer, Dienstleister, EO, EU-Bürger, EU-Unternehmen, EU-US Data Privacy Framework, Exit-Strategie, IStGH, Microsoft, Sanktionsliste, Standarddatenschutzklauseln, US-Unternehmen, USA, Visa | 1 Kommentar

Ein Lebkuchenhaus im Hintergrund ein Weihnachtsbaum im Vordergrund die Zahl 15

DIN 66399 – Ist die Norm zur Datenträgervernichtung noch aktuell?

Die im Oktober 2012 veröffentlichte DIN 66399 „Büro- und Datentechnik – Vernichten von Datenträgern“ ist eine deutsche Norm, welche die Anforderungen für die sichere Vernichtung von Datenträgern wie Papier, CDs oder Festplatten definiert. Für viele Unternehmen und Dienstleister ist sie der zentrale Anknüpfungspunkt, wenn es um die Festlegung von Sicherheitsstufen und Vorgaben zur Datenvernichtung geht. […]

Felix Schneider | 15. Dezember 2025 | Allgemein | Datenlöschung, Datenträger, Datenvernichtung, Dienstleister, DIN, DIN 66399, ISO/IEC 21964, Schutzklassen, Sicherheitsstufen, Unternehmen

Das Wort Benefit mit Buchstaben aus einer Tastatur gelegt.

Mitarbeitervorteile – Win-win für alle Beteiligten bei Einhaltung datenschutzrechtlicher Vorgaben

Von Rabatten in Onlineshops über Zuschüsse zu ÖPNV-Tickets, Fahrrädern oder Fitnesskursen, bis hin zu Kostenbeteiligungen bei Schönheits-OPs und medizinischen Behandlungen – die Bandbreite von Vorteilen und Vergünstigungen, die Arbeitgeber ihren Beschäftigten gewähren, ist groß. Die sog. Mitarbeitervorteile/-rabatte/-angebote oder Employee Benefits erfreuen sich steigender Beliebtheit, da sie die Mitarbeiterbindung und -zufriedenheit fördern und gleichzeitig für die […]

Juliane Schönwald | 12. November 2025 | Allgemein | Arbeitgeber, Arbeitnehmer, Auftragsverarbeitung, Datenverarbeitung, Dienstleister, Einwilligung, Employee Benefits, Gesundheitsdaten, Mitarbeiterangebote, Mitarbeitervorteile, Rabatte, Verantwortliche Stelle | 3 Kommentare

Backsteingebäude an dem ein blaues Schild mit der Aufschrift „Polizei“ befestigt ist.

Wann darf ein polizeiliches Führungszeugnis von externen Dienstleistern verlangt werden?

Polizeiliche Führungszeugnisse spielen eine zunehmend zentrale Rolle in sicherheitskritischen Bereichen – z. B. bei der Auswahl von IT-Personal mit Zugang zu Rechenzentren. Doch aus datenschutzrechtlicher Sicht ist der Umgang mit diesen Dokumenten heikel. Insbesondere, wenn externe Dienstleister verpflichtet werden sollen, polizeiliche Führungszeugnisse ihrer Beschäftigten zu prüfen oder vorzulegen, stellen sich grundlegende Fragen nach der rechtlichen […]

Lisa-Maria Körner | 1. Oktober 2025 | Beschäftigtendatenschutz | Amazon, Arbeitgeber, Arbeitnehmer, Art. 10 DSGVO, BDSG, Beschäftigungsverhältnis, Bußgeld, Dienstleister, polizeiliches Führungszeugnis, Rechtsgrundlage, Straftaten, Verarbeitungsverbot

BEM-Verfahren: Datenschutzverstöße durch den Dienstleister führen zur Unwirksamkeit der Kündigung

Seit einigen Jahren können wir in der Beratung vor allem bei größeren Unternehmen den Trend erkennen das gesetzlich vorgesehene betriebliche Eingliederungsmanagement (BEM) an externe Dienstleister auszugliedern. Dies sorgt u. a. für eine Arbeitsentlastung beim Arbeitgeber, da die Durchführung von BEM-Verfahren mit einem großen Aufwand verbunden sein kann. Des Weiteren kann es für betroffene Beschäftigte unter […]

Juliane Schönwald | 13. August 2025 | Beschäftigtendatenschutz | Arbeitgeber, Arbeitnehmer, BEM-Verfahren, Betrieblichen Eingliederungsmanagement, Datenverarbeitung, Dienstleister, Gesundheitsdaten, Informationen, LAG Baden-Württemberg, Verantwortlichkeit

Viele graue Ketten liegen durcheinander.

Kontrollpflichten bei Auftragsverarbeitern in der Verarbeitungskette

Viele Unternehmen lagern einzelne Aufgaben an externe Dienstleister aus, da durch das sog. Outsourcing oft effizientere Lösungen gefunden werden können. Als Beispiele wären die Verwendung einer fremdgehostete HR-Software, auf der Bewerber ihre Unterlagen hochladen können, oder der Newsletter-Versand über einen externen Anbieter zu nennen. Die Dienstleister verarbeiten dann ggf. auch personenbezogene Daten im Auftrag der […]

Sophia Louzri | 3. Juli 2025 | Allgemein, Aufsichtsbehörden | Auftragsverarbeiter, Auftragsverarbeitungsvertrag, Datenverarbeitungstätigkeiten, Dienstleister, Drittlandsübermittlung, DSGVO, EDSA, Garantien, Kontrollpflicht, Risiko, Überprüfungspflicht, Unterauftragnehmer, Verantwortliche Stelle

Verschiedene Euroscheine und ein Paragraphenzeichen in Silber.

BfDI: 45 Mio. Euro Geldbuße gegen Vodafone

Das höchste, bisher verhängte Bußgeld in Deutschland für Verstöße gegen die DSGVO betrug 35,3 Mio. Euro. Seit dem 03.06.2025 steht der Titel „höchstes Bußgeld“ der Vodafone GmbH (Vodafone) zu. Das Bußgeld in Höhe von 45 Mio. Euro, verhängt von der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), setzt sich aus zwei Einzelbußgeldern zusammen. Diese […]

Dr. Sebastian Ertel | 6. Juni 2025 | Aufsichtsbehörden | Art. 28 DSGVO, Aufsichtsbehörde, Auftragsverarbeiter, Authentifizierung, BfDI, Bußgeld, Dienstleister, DSGVO, Prüfung, Sicherheitsmängel, Vodafone

Illustration eines Labyrinths in Blau mit einem gelber Pfeil der den Weg raus zeigt.

Warum Unternehmen und Organisationen eine KI-Richtlinie brauchen

Seit dem 2. Februar 2025 gilt die Schulungspflicht nach der KI-Verordnung (KI-VO), d. h. Beschäftigte, die sich mit der Nutzung oder dem Betrieb von KI-Systemen befassen, sollen nach Art. 4 KI-VO „über ein ausreichendes Maß an KI-Kompetenz“ verfügen. Mit der Umsetzung der Schulungspflicht ist es jedoch noch nicht getan, denn Unternehmen und Organisation sind gut […]

Sven Venzke-Caprarese | 25. März 2025 | Compliance, Künstliche Intelligenz – KI | Arbeitgeber, Arbeitnehmer, ChatGPT, Datenverarbeitung, Dienstleister, Hochrisiko-KI-Systeme, KI-Richtlinie, KI-Schulung, KI-System, KI-Tools, KI-VO, personenbezogene Daten, Rechtsgrundlage, Unternehmensinformationen, Verarbeitungszweck, Vertrag zur Auftragsverarbeitung

Mitarbeiterin sitzt im Büro an ihrem Schreibtisch und schaut skeptisch auf einen Berg an Unterlagen.

Als Datenschützer neu im Unternehmen: Wo fange ich an?

Mithilfe des nachfolgenden Beitrages soll allen neuen Datenschutzbeauftragten eine Orientierung gegeben werden, um im neuen Aufgabenbereich eine Priorisierung der Aufgaben vornehmen zu können und eine strukturierte Vorgehensweise zu implementieren. Spätestens in 2018 wurden viele Beschäftigte mit der Aufgabe betraut, den Datenschutz im Unternehmen zu übernehmen. Nicht wenige mussten sich mit dem Thema und der neuen […]

Christopher Haschenz | 12. März 2025 | Allgemein | Datenschutz-Managementsystem, Datenschutzbeauftragte, Datenverarbeitung, Dienstleister, Dokumentationspflicht, Jahresbericht, Projekte, Verträge

Illustration mit mehreren Zahnrädern, die ineinander greifen, zwei große Zahnräder mit der Flagge der USA und der EU.

EU-US DPF: Sind unsere Daten in den USA in Gefahr?

Wer einen US-Dienstleister nutzt, muss damit rechnen, dass die Daten entweder auf Servern in den USA verarbeitet werden oder zumindest für US-Behörden zugänglich sind. Dabei sind zwei wesentliche Regelwerke zu beachten: Das EU-US Data Privacy Framework (DPF) und der CLOUD-Act. Der CLOUD-Act, den Präsident Trump 2018 in Kraft setzte, regelt den Datenzugriff von US-Strafverfolgungsbehörden auf Daten […]

Olaf Rossow | 10. März 2025 | Allgemein | Angemessenheitsbeschluss, Cloud, Datenschutzniveau, Datentransfer, Dienstleister, Drittland, EU, EU-Kommission, EU-US DPF, PCLOB, Privacy and Civil Liberties Oversight Board, SCCs, Server, USA

1 2