aufsichtsbehörde prüft rechtsgrundlage öffentliches interesse öffentliche gewalt hoheitliche aufgabe 6 1 e dsgvo tom passwörter bsi risikoanalyse zawas kontrollpflicht auftragsverarbeitung

Auftragsverarbeitungsverträge – Kontrollpflichten von Verantwortlichen bei der Auftragsverarbeitung

/von

Über die Kontrolle von Auftragsverarbeitern und (Unter-)Auftragnehmern haben wir bereits in einem früheren Beitrag berichtet (hier). Wichtig im Zusammenhang mit der Beauftragung von Auftragsverarbeitern ist unter anderem die Gewährleistung der Umsetzung adäquater technischer und organisatorischer Maßnahmen (TOM) gemäß Art. 32 Abs. 1 DSGVO.

Auch das OLG Dresden (Urteil vom 15. Oktober 2024, Az. 4 U 940/24) unterstreicht die Relevanz dieser Pflichten. In unserem Beitrag „Warum der Datenschutz auch beim Abschied nicht vergessen werden darf“ haben wir erläutert, warum es entscheidend ist, Datenschutzvorgaben auch beim Vertragsende und darüber hinaus noch ernst zu nehmen.

Ein (fiktives) Beispiel

Ein Auftragsverarbeiter verfügt über eine nur unzureichend sichere Passwort-Richtlinie – etwa entgegen den Empfehlungen des BSI zum Passwortschutz. Wenn der Verantwortliche bei der Auswahl des Dienstleisters nicht gemäß Art. 28 Abs. 1 DSGVO darauf achtet, dass dieser hinreichende Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen so getroffen und durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und der Schutz der Rechte der betroffenen Personen gewährleistet ist, geht er für ihn unnötige Risiken ein.

Fehlende Vorgaben zur Passwortlänge oder Komplexität sowie unzureichende technische Durchsetzungsmöglichkeiten (beispielsweise Einsatz einer technisch erzwungenen Passwort-Policy) können gravierende Folgen haben: einfache Passwörter sind leicht zu erraten oder durch sogenannte Wörterbuchangriffe zu knacken. Auf diese Weise werden Angreifern Tür und Tor geöffnet, um Schwachstellen auszunutzen und unter Umständen weitere Systeme zu kompromittieren.

Die möglichen Folgen sind:

  • Bußgeld: Die zuständige Aufsichtsbehörde kann ein Bußgeld gegen das Unternehmen als Verantwortlichen gemäß Art. 83 Abs. 4 lit. a DSGVO in Verbindung mit Art. 28 DSGVO verhängen wegen unterlassener Kontrollmaßnahmen.
  • Imageschaden: Die Datenschutzverletzung kann öffentlich bekannt werden. Die kann passieren, weil Medien unter Umständen über den Vorfall berichten oder auch einfach nur deshalb, weil durch eine Datenschutzverletzung gemäß Art. 34 DSGVO eine Benachrichtigungspflicht gegenüber den betroffenen Personen bestehen kann. Die Folge wäre dann vermutlich, dass das Vertrauen von Kund*innen und Geschäftspartner*innen sinkt.
  • Behördliche Auflagen: Die Aufsichtsbehörde für den Datenschutz wird mit hoher Wahrscheinlichkeit Nachbesserungen verlangen und könnte sogar bei Ausbleiben solcher Nachbesserungen die Verarbeitungen untersagen.

Nicht berücksichtigt haben wir hier die möglichen Folgen für den Auftragsverarbeiter, die aber im Großen und Ganzen denen für den Verantwortlichen entsprechen.

Warum regelmäßige Kontrollen so wichtig sind

Verantwortliche sind gesetzlich verpflichtet, ihre Auftragsverarbeiter nicht nur sorgfältig auszuwählen, sondern auch laufend zu kontrollieren. Art. 28 Abs. 3 lit. h DSGVO definiert zwar nur die Pflicht, sich als Auftraggeber, das Recht zur Durchführung von Kontrollen, einschließlich Inspektionen, einräumen zu lassen und keine explizite Pflicht, solche Kontrollen auch tatsächlich durchzuführen. Nach herrschender Meinung, unterstützt durch gerichtliche Entscheidungen wie der vorgenannten Entscheidung des OLG Dresden, ergibt sich daraus dennoch eine fortlaufende Überwachungspflicht.

Der Umfang dieser Kontrollpflicht hängt vom konkreten Einzelfall ab und folgt dem risikobasierten Ansatz der DSGVO. Werden beispielsweise besonders viele oder besonders sensible Daten, beispielsweise besondere Kategorien gemäß Art. 9 DSGVO, verarbeitet, steigen die Anforderungen entsprechend.

Hinzu kommen moderne Risikoszenarien: Der Einsatz von KI-Systemen bei Dienstleistern, die Nutzung von Big-Data-Analysen sowie die Übermittlung personenbezogener Daten in Drittländer (beispielsweise in die USA) erhöhen die Komplexität und die potenziellen Auswirkungen im Falle von Datenschutzverstößen erheblich. Gerade hier ist es essenziell, die technischen und organisatorischen Maßnahmen (TOM) der eingesetzten Dienstleister regelmäßig zu prüfen und die Umsetzung der vertraglich vereinbarten Datenschutzanforderungen laufend zu evaluieren.

Möglicher Audit-Plan für Auftragsverarbeiter – kompakt zusammengefasst:

  1. Ziel: Sicherstellung der Einhaltung der DSGVO und des Vertrags zur Auftragsverarbeitung (AV-Vertrag).
  2. Vorbereitung: Prüfung des AV-Vertrags, Erstellung eines Fragenkatalogs
  3. Prüfschwerpunkte:
    • Umsetzung der vereinbarten TOM
    • Verpflichtung der Beschäftigten zur Vertraulichkeit
    • Umsetzung der Weisungen des Verantwortlichen
    • Prozesse für Rechte der betroffenen Personen und Datenschutzverletzungen
  4. Durchführung:
    • Self-Assessment über Fragenkatalog
    • Vor-Ort-Kontrolle bei Auffälligkeiten oder Unsicherheiten
  5. Nachbereitung: Auswertung, Risikobewertung, ggf. Erstellung eines Maßnahmenkatalogs
  6. Wiederholung: Regelmäßig, risikobasiert

In eigener Sache – unser Prüfkonzept: Effizient, verlässlich, entlastend

Datenschutzverantwortliche sehen sich in der Praxis häufig mit einem Dilemma konfrontiert: Die Verpflichtung zur regelmäßigen Kontrolle ihrer Auftragsverarbeiter ist rechtlich eindeutig – der damit verbundene Aufwand aber oft schwer mit den verfügbaren Ressourcen vereinbar. Genau an diesem Punkt setzen wir an.

Aus unserer Beratungspraxis heraus haben wir ein smartes und zugleich praxistaugliches Prüfkonzept entwickelt, das Verantwortliche entlastet, ohne dabei an Sorgfalt oder Tiefe einzubüßen.

Unser Ziel: Hohe Rechtssicherheit bei niedrigem Aufwand für Sie:

  1. Transparente Selbstauskunft
    Im ersten Schritt starten wir mit einer strukturierten Selbstauskunft, die auf einem präzise entwickelten Fragenkatalog basiert. Dieser deckt die wesentlichen Prüffelder nach DSGVO und AV-Vertrag ab – klar, nachvollziehbar und direkt ausfüllbar. So entsteht bereits an dieser Stelle ein erster fundierter Eindruck über das Datenschutzniveau beim Dienstleister.
  2. Gezielte Auswertung mit optionalen Folgeprüfungen
    Im zweiten Schritt analysieren wir die Antworten mit Blick auf Auffälligkeiten oder Risikopotential. Wo erforderlich, schlagen wir Folgeprüfungen vor – etwa in Form vertiefender Nachfragen oder punktueller Vor-Ort-Kontrollen. Die gesamte Organisation, Kommunikation und Dokumentation übernehmen wir – strukturiert, DSGVO-konform und revisionssicher.

Mit unserem überarbeiteten Prüfkonzept erhalten Sie eine Lösung, die Ihre gesetzlichen Kontrollpflichten zuverlässig abdeckt – und das bei minimalem eigenem Aufwand. Durch den strukturierten Ablauf, bestehend aus Selbstauskunft und gezielter Folgeprüfung, gewinnen Sie schnell und effizient einen belastbaren Überblick über den Datenschutzstatus Ihrer Dienstleister. Wir kümmern uns um alle relevanten Schritte – von der Vorbereitung über die Auswertung bis hin zur Dokumentation – und sorgen dafür, dass Sie im Falle einer behördlichen Prüfung gut aufgestellt sind. So reduzieren Sie Risiken, vermeiden Mögliche Haftungsfragen und stärken das Vertrauen Ihrer Kunden, Partner und Beschäftigte in Ihrer Organisation.

Fazit

Die fortlaufende Kontrolle der Auftragsverarbeitung ist keine optionale Maßnahme, sondern eine gesetzlich geforderte Verpflichtung für Verantwortliche. Dabei reicht es nicht aus, die Pflichten allein auf dem Papier zu erfüllen – die praktische Umsetzung ist entscheidend.

Die DSGVO gibt den Rahmen vor, der durch eine sorgfältige Auswahl, vertragliche Gestaltung und kontinuierliche Überwachung ausgefüllt werden muss. Nur so lassen sich datenschutzrechtliche Risiken wirksam steuern, Haftungsrisiken minimieren und das Vertrauen der betroffenen Personen nachhaltig stärken.

Das Urteil des OLG Dresden verdeutlicht, dass Verantwortliche die Einhaltung ihrer Pflichten nicht nur zu Beginn der Zusammenarbeit, sondern auch fortlaufend überprüfen müssen – insbesondere, wenn der Auftragsverarbeiter Zugriff auf sensible Daten hat.

Wir unterstützen Sie gerne Lösungen zur Durchführung Ihrer Prüfpflichten, die nicht nur praxisnah sind, sondern auch eine hohe Rechtssicherheit bieten.