Mauß Datenschutz GmbH
  • Über uns
  • Hinweisgebersystem
  • Websitemonitoring
  • Kontakt
  • Blog
  • Newsletter
  • Impressum
  • Datenschutzhinweise
  • Click to open the search input field Click to open the search input field Suche
  • Menü Menü
Eine Person sichtet einen Vertrag und rauft sich die Haare

Kontrollpflichten bei (Ketten)-Auftragsverarbeitung

9. Juli 2025/von Datenschutzbeauftragter/oba

Mit der Stellungnahme 22/2024 hat der Europäische Datenschutzausschuss (EDSA) wichtige Klarstellungen zur Rolle und Verantwortung von Verantwortlichen bei der Zusammenarbeit mit Auftragsverarbeitern getroffen. Insbesondere bei mehrstufigen Verarbeitungsprozessen, also dann, wenn nicht nur ein Auftragsverarbeiter, sondern zusätzlich auch Unterauftragsverarbeiter eingebunden sind, stellt sich häufig die Frage, wie weit die Kontrollpflichten des Verantwortlichen tatsächlich reichen. Der EDSA betont nun in aller Deutlichkeit: Die datenschutzrechtliche Verantwortung bleibt beim Verantwortlichen und ist weder delegierbar noch teilbar – auch nicht im Rahmen komplexer Dienstleisterketten (vgl. Art. 5 Abs. 2 DSGVO und Art. 24 Abs. 1 DSGVO).

Diese Einschätzung ist nicht nur rechtlich relevant, sondern hat unmittelbare Auswirkungen auf die Praxis in vielen Organisationen, insbesondere dort, wo externe IT-Dienstleistungen, Cloud-Services oder spezialisierte Subunternehmer zum Einsatz kommen. Kürzlich hatten wir bereits zu einem ähnlichen Thema einen Artikel veröffentlicht. Darin ging es primär um die Kontrolle des direkten (ersten) Auftragsverarbeiters. Der vorliegende Artikel befasst sich daher mit der Kontrollpflicht hinsichtlich weiterer Unterauftragsverarbeiter, die vom direkten Auftragsverarbeiter beauftragt wurden.

Verantwortung endet nicht beim direkten Vertragspartner

Ein zentrales Anliegen des EDSA ist es, das Bewusstsein dafür zu schärfen, dass die datenschutzrechtliche Verantwortung des Verantwortlichen nicht mit dem Abschluss eines Auftragsverarbeitungsvertrags endet. Vielmehr bleibt die Verpflichtung zur Kontrolle über die gesamte Verarbeitungskette hinweg bestehen. Der Verantwortliche ist also für jeden Teil der Verarbeitung verantwortlich, unabhängig davon, ob die Daten direkt vom Verantwortlichen verarbeitet oder durch eine Vielzahl von (Sub-)Auftragnehmern weitergegeben und von diesen verarbeitet werden. Die Position des EDSA stützt sich dabei insbesondere auf Art. 24 Abs. 1 DSGVO sowie Art. 28 DSGVO.

Demnach ist der Verantwortliche verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um sicherzustellen, dass sämtliche Verarbeitungen, die unter seiner Verantwortung durchgeführt werden, auch durch Dritte, im Einklang mit den Vorgaben der DSGVO stehen. Dies gilt in besonderem Maße für Situationen, in denen Auftragsverarbeiter ihrerseits weitere Dienstleister beauftragen, ohne dass der Verantwortliche über deren Identität oder deren Datenschutzmaßnahmen im Bilde ist.

Transparenz über die gesamte Verarbeitungskette erforderlich

Nach Ansicht des EDSA muss der Verantwortliche in der Lage sein, alle an der Verarbeitung beteiligten Akteur*innen zu identifizieren – also nicht nur den direkten Auftragsverarbeiter, sondern auch alle Unterauftragsverarbeiter. Diese Transparenz ist nicht nur aus Gründern der Kontrolle wichtig, sondern auch für die Wahrnehmung von Betroffenenrechte, etwa im Rahmen von Auskunftsanfragen nach Art. 15 DSGVO. Hier müssen betroffene Personen erfahren können, welche Empfänger*innen ihre Daten erhalten haben – und das schließt Subunternehmer mit ein.

In der Praxis bedeutet dies, dass Unternehmen bei der Auswahl und vertraglichen Einbindungen von Dienstleistern sicherstellen müssen, dass ihnen sämtliche Subdienstleister bekannt sind und dass sie vertraglich zugesichert bekommen, bei Änderungen informiert zu werden. Eine sogenannte „generelle Genehmigung“ im Sinne des Art. 28 Abs. 2 DSGVO kann demnach nur dann zulässig sein und funktionieren, wenn eine transparente Information über jeden Wechsel oder jede Neuaufnahme eines Subauftragnehmers erfolgt und der Verantwortliche im Einzelfall widersprechen kann. Dabei muss dann der Wechsel eines Subauftragnehmers beispielsweise in der vierten Ebene der Vertragskette eine Informationskette über alle Ebenen nach oben bis hin zum Verantwortlichen auslösen.

Risikoabhängige Kontrollpflichten – kein „One-Size-Fits-All“

Ein besonders praxisrelevanter Aspekt der Stellungnahme betrifft die Frage, in welchem Umfang der Verantwortliche Prüfungen der Verarbeitung durch Unterauftragsverarbeiter durchführen muss. Der EDSA macht deutlich, dass die Intensität der Prüfung vom Risiko der Verarbeitung abhängt.

Bei einem erhöhten Risiko, etwa bei der Verarbeitung besonders sensibler Daten gemäß Art. 9 DSGVO, bei umfangreichen Datenmengen oder bei kritischen IT-Systemen, kann es erforderlich sein, dass der Verantwortliche Einsicht in die Verträge mit Unterauftragsverarbeitern erhält oder sogar Audits durchführt. Dies gilt selbst dann, wenn eine direkte Vertragsbeziehung nicht besteht.

Im Gegensatz dazu kann bei einem niedrigen Risiko, etwa bei rein technischen Dienstleistungen ohne aktiven Zugriff auf personenbezogene Daten durch den Subdienstleister, eine regelmäßige Selbstauskunft oder ein Zertifikat des Subauftragsverarbeiters genügen. Dennoch bleibt auch hier eine Pflicht zur Plausibilisierung der Angaben bestehen.

Beispiel aus der Praxis:
Ein externer IT-Dienstleister gibt an, regelmäßig Sicherheitsüberprüfungen durchzuführen, kann dies jedoch nicht durch geeignete Nachweise oder Zertifizierungen belegen. In diesem Fall reichen die Angaben nicht aus, um als „hinreichende Garantie“ im Sinne von Art. 28 Abs. 1 DSGVO zu gelten. Der Verantwortliche wird also weitere Informationen einholen oder Prüfmaßnahmen durchführen müssen, um die Datenschutzkonformität fundiert einschätzen zu können.

Einblick in Unterauftragsverhältnisse und vertragliche Regelungen

Eine weitere wichtige Aussage des EDSA betrifft die Einsicht in die zwischen Auftragsverarbeitern und deren Subunternehmern geschlossenen Verträge. Verantwortliche müssen die Möglichkeit haben, diese Vereinbarungen einzusehen. Dies ist insbesondere dann wichtig, wenn konkrete Zweifel an der Datenschutzkonformität bestehen oder wenn Hinweise auf Sicherheitsmängel vorliegen.

Vertragliche Regelungen zwischen Verantwortlichen und Auftragsverarbeitern sollten daher explizit vorsehen, dass im Bedarfsfall die relevanten Passagen offengelegt werden können. Diese Möglichkeit ist nicht als Ausnahme, sondern als integraler Bestandteil einer verantwortungsvollen Auftragsverarbeitung zu verstehen.

Besonderheit Drittlandtransfer – zusätzliche Verantwortung

Ein besonders sensibler Bereich stellt der internationale Datentransfer dar. Der EDSA weist darauf hin, dass die Verantwortung für den rechtskonformen Transfer in ein Drittland nicht auf den Auftragsverarbeiter abgewälzt werden kann. Auch wenn der unmittelbare Dienstleister in der EU/EWR sitzt, kann es sein, dass Subdienstleister in Drittländern ansässig sind – mit allen datenschutzrechtlichen Folgen.

Grundsätzlich darf ein solcher Transfer nur erfolgen, wenn die Anforderungen aus Kapital V der DSGVO erfüllt sind. Liegt ein Angemessenheitsbeschluss der EU-Kommission vor (Art. 45 DSGVO), ist kein weiterer Nachweis erforderlich. Fehlt ein solcher Beschluss, müssen geeignete Garantien vorliegen (Art. 46 DSGVO) – etwa in Form von Standarddatenschutzklauseln.

Und, um es kurz zu halten: Auch für die Drittlandtransfers gilt die Regel, dass diese über die gesamte Vertragskette nach oben transparent gemacht und im Vertrag vereinbart werden müssen, analog zum Umgang mit (Sub-)Auftragsverarbeitern.

Zudem ist ein sogenanntes Transfer Impact Assessment (TIA) durchzuführen. Auch hier macht der EDSA deutlich, dass der Verantwortliche nicht lediglich auf die Durchführung durch den Auftragsverarbeiter vertrauen darf. Die Bewertung muss aktiv nachvollzogen und plausibilisiert werden – idealerweise dokumentiert im Rahmen des Verzeichnisses von Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DSGVO oder eines internen Risikoprozesses.

In eigener Sache: Smarte Kontrolle ohne Mehraufwand

Viele Verantwortliche kennen das Dilemma: Die Pflicht zur Kontrolle von Auftragsverarbeitern ist klar geregelt – die Umsetzung im Alltag jedoch oft ressourcenintensiv. Aus unserer Beratungspraxis heraus haben wir ein effizientes Prüfkonzept entwickelt, das genau hier ansetzt.

Kernbausteine: strukturierte Selbstauskunft und gezielte Folgeprüfung

Wir starten mit einem klar aufgebauten Fragenkatalog zur Selbstauskunft, der zentrale DSGVO-Pflichten abdeckt. Auffälligkeiten werten wir gezielt aus und begleiten bei Bedarf auch vertiefende Nachprüfungen – revisionssicher, risikoorientiert und mit minimalem Aufwand für Sie.

Ihr Vorteil

Verlässliche Erfüllung Ihrer Kontrollpflichten – ohne operative Überlastung. So behalten Sie den Überblick über Ihre Dienstleister und sind auch bei behördlichen Prüfungen auf der sicheren Seite.

Fazit: Kontrolle bleibt Pflicht – auch über mehrere Ebenen hinweg

Mit der Stellungnahme 22/2024 stellt der EDSA unmissverständlich klar, dass die datenschutzrechtliche Verantwortung des Verantwortlichen nicht an der Schnittstelle zum ersten Auftragsverarbeiter endet. Vielmehr muss über die gesamte Verarbeitungskette hinweg sichergestellt werden, dass die Anforderungen der DSGVO eingehalten werden.

Die Kontrollintensität kann zwar je nach Risiko variieren, vollständig verzichten dürfen Verantwortliche auf entsprechende Prüfungen jedoch nicht. Dies betrifft sowohl die Auswahl von Dienstleister als auch die regelmäßige Überprüfung bestehender Auftragsverhältnisse – einschließlich der eingesetzten Subdienstleister.

https://datenschutzbeauftragter-hamburg.de/wp-content/uploads/2025/07/Vertragssichtung-Perplexity.png 1024 1536 Datenschutzbeauftragter/oba /wp-content/uploads/2016/06/datenschutz_hamburg_logo.png Datenschutzbeauftragter/oba2025-07-09 09:42:492025-07-21 12:22:25Kontrollpflichten bei (Ketten)-Auftragsverarbeitung

Bitte beachten Sie

Unsere Beiträge sind stets als allgemeine Information zu verstehen. Sie stellen die persönliche Meinung der jeweiligen Autor*innen dar und können eine professionelle Datenschutzberatung nicht ersetzen. Für die Korrektheit übernehmen wir keine Gewähr. Alle Informationen basieren auf unserem Wissensstand zum Zeitpunkt der Veröffentlichung. Sie können möglicherweise durch Rechtsprechung, Aussagen der Aufsichtsbehörden zum Datenschutz, geänderte Gesetzgebung oder ähnliches nicht mehr aktuell sein. Dies gilt insbesondere mit zunehmendem zeitlichen Abstand zum Veröffentlichungszeitpunkt.

Melden Sie sich für unseren kostenlosen Newsletter an

Abonnieren Sie unseren kostenlosen Newsletter.

Selbstverständlich können Sie sich jederzeit wieder abmelden. Für alle weiteren Details beachten Sie bitte unsere Datenschutzhinweise.

Sie erhalten in den nächsten Minuten eine E-Mail mit einem Bestätigungs-Link. Bitte prüfen Sie Ihren Posteingang und ggf. auch den Spamordner. Bitte klicken Sie den Bestätigungs-Link an, um Ihr Abonnement zu bestätigen. Erst danach ist das Abonnement aktiv. Vielen Dank für Ihr Interesse an unserem Newsletter. Mauß Datenschutz GmbH

Suchen

Search Search

Kontakt

Mauß Datenschutz GmbH

Neuer Wall 10
20354 Hamburg

Telefon:
040 / 999 99 52-0

Rechtliches

Impressum
Datenschutzhinweise

© Copyright Mauß Datenschutz GmbH | Datenschutz | Impressum | Kontakt         
Link to: Datenschutz im Beschäftigungsverhältnis: Wann dürfen Arbeitgeber auf E-Mails, Logs und Dateien zugreifen? Link to: Datenschutz im Beschäftigungsverhältnis: Wann dürfen Arbeitgeber auf E-Mails, Logs und Dateien zugreifen? Datenschutz im Beschäftigungsverhältnis: Wann dürfen Arbeitgeber auf E-Mails,...private nutzung emails zugriff arbeitgeber Link to: Auskunftsrecht trifft Betriebsrat Link to: Auskunftsrecht trifft Betriebsrat Eine Gruppe Personen, die sehr ablehnend schaut und Aktenordner festhält.Auskunftsrecht trifft Betriebsrat
Nach oben scrollen Nach oben scrollen Nach oben scrollen