Michael Kornmann, Autor bei QS Kornmann

Wann Fotos zu personenbezogenen Daten werden – und was Unternehmen beachten müssen

Chatkontrolle & Verschlüsselung: Warum sichere Kommunikation nicht verhandelbar ist

QM-Kennzahlen, die wirken: Messen, was wirklich zählt

Auftragsverarbeitung in der Praxis: Kennen Sie wirklich alle AVV-Pflichten?

ISO 9001:2026 – Was sich wirklich ändert (und was nicht)

PKV-Urteil zu Gesundheitsdaten: Was Unternehmen jetzt beachten müssen

LinkedIn-Kontakt ist keine Werbeeinwilligung: Was das Urteil des AG Düsseldorf für Unternehmen bedeutet

Dienstleister-Audits nach DSGVO: Warum Kontrolle Pflicht ist – und kein Extra

Wer sie vernachlässigt, riskiert nicht nur Datenschutzverstöße, sondern auch empfindliche Konsequenzen bei Prüfungen.

17 April 2026

Viele Unternehmen verlassen sich darauf, dass ihre Dienstleister den Datenschutz schon „richtig machen“. Doch genau hier liegt ein häufig unterschätztes Risiko: Die Kontrolle von Auftragsverarbeitern ist keine freiwillige Zusatzleistung, sondern eine klare gesetzliche Pflicht. Wer sie vernachlässigt, riskiert nicht nur Datenschutzverstöße, sondern auch empfindliche Konsequenzen bei Prüfungen.

Dieser Beitrag zeigt, worauf es bei Dienstleister-Audits wirklich ankommt – und wie Unternehmen diese Aufgabe pragmatisch und wirksam umsetzen können.

Rechtlicher Rahmen: Verantwortung bleibt beim Unternehmen

Die Datenschutz-Grundverordnung (DSGVO) macht die Rollenverteilung eindeutig: Auch wenn externe Dienstleister personenbezogene Daten verarbeiten, bleibt die Verantwortung beim beauftragenden Unternehmen – dem sogenannten „Verantwortlichen“.

Konkret verlangt Art. 28 DSGVO, dass nur mit Dienstleistern zusammengearbeitet wird, die ausreichende Garantien für geeignete technische und organisatorische Maßnahmen (kurz: TOMs) bieten. Das bedeutet in der Praxis: Unternehmen müssen nicht nur vor Vertragsabschluss prüfen, sondern auch laufend kontrollieren, ob diese Anforderungen eingehalten werden.

Ebenso wichtig: Auftragsverarbeiter sind verpflichtet, Audits zu ermöglichen und aktiv zu unterstützen. Diese Mitwirkung ist kein Entgegenkommen, sondern gesetzlich vorgeschrieben.

Was bei einem Audit tatsächlich geprüft wird

Ein wirksames Dienstleister-Audit geht über reine Formalitäten hinaus. Im Fokus steht die Frage, ob Datenschutz im Alltag tatsächlich gelebt wird.

Die Bewertung orientiert sich an zentralen DSGVO-Grundsätzen wie:

Datenminimierung (nur notwendige Daten werden verarbeitet)
Zweckbindung (Daten werden nur für festgelegte Zwecke genutzt)
Wahrung von Betroffenenrechten (z. B. Auskunft oder Löschung)
Transparenz im Umgang mit Daten
Sicherheit durch Vertraulichkeit, Integrität und Verfügbarkeit

Darüber hinaus wird das gesamte Datenschutzmanagement des Dienstleisters betrachtet: Gibt es klare Prozesse? Werden Mitarbeitende geschult? Wie werden Sicherheitsvorfälle behandelt?

Ein gutes Audit verbindet dabei Dokumentenprüfung mit praxisnahen Einblicken – etwa durch Interviews oder Stichproben.

Auditkonzept statt Einzelmaßnahme

In der Praxis zeigt sich: Einzelne Prüfungen reichen nicht aus. Sinnvoll ist ein strukturiertes Auditkonzept, das festlegt, welche Dienstleister wann und wie geprüft werden.

Ein risikobasierter Ansatz hat sich bewährt. Das bedeutet: Dienstleister, die besonders sensible Daten (z. B. Gesundheitsdaten) oder große Datenmengen verarbeiten, werden intensiver und häufiger geprüft als weniger kritische Partner.

Zudem sollten Auditprozesse klar dokumentiert sein – von der Planung über die Durchführung bis zur Nachverfolgung von Maßnahmen. Das schafft nicht nur Transparenz, sondern ist auch im Falle einer behördlichen Prüfung ein entscheidender Vorteil.

Mehrwert statt Pflichtübung

Dienstleister-Audits werden oft als zusätzlicher Aufwand wahrgenommen. Richtig umgesetzt, sind sie jedoch ein wirkungsvolles Instrument des Risikomanagements.

Sie helfen dabei, Schwachstellen frühzeitig zu erkennen, Prozesse zu verbessern und die Zusammenarbeit mit Dienstleistern zu professionalisieren. Gleichzeitig stärken sie die eigene Compliance und reduzieren Haftungsrisiken.

Am Ende profitieren alle Beteiligten:
Unternehmen gewinnen Rechtssicherheit, Dienstleister optimieren ihre Abläufe – und die Daten der Betroffenen sind besser geschützt.

Unsere Top 5

Auditkonzept festlegen: Klare Kriterien, Zuständigkeiten und Prüfintervalle definieren
Risiken priorisieren: Besonders sensible oder umfangreiche Datenverarbeitungen zuerst prüfen
Verträge schärfen: Auditrechte, Fristen und Maßnahmen verbindlich im AV-Vertrag regeln
Nachweise sinnvoll nutzen: Zertifizierungen einbeziehen, aber nicht blind darauf verlassen
Ergebnisse dokumentieren: Audits sauber protokollieren und Maßnahmen konsequent nachverfolgen

GDNG & Gesundheitsforschung: Was sich für Unternehmen jetzt wirklich ändert

Für Unternehmen bedeutet das Gesundheitsdatennutzungsgesetz vor allem eines – genauer hinschauen und Prozesse sauber aufsetzen.

10 April 2026

Das Gesundheitsdatennutzungsgesetz (GDNG) soll die Nutzung von Gesundheitsdaten für Forschungszwecke erleichtern und Innovationen im Gesundheitswesen vorantreiben. Doch die aktuelle Orientierungshilfe des Bayerischer Landesbeauftragter für den Datenschutz zeigt: Ganz so einfach wird es in der Praxis nicht. Für Unternehmen bedeutet das vor allem eines – genauer hinschauen und Prozesse sauber aufsetzen.

Neue Möglichkeiten – aber keine pauschale Vereinfachung

Mit dem GDNG wurden neue rechtliche Grundlagen geschaffen, die unter bestimmten Voraussetzungen eine Nutzung von Gesundheitsdaten auch ohne ausdrückliche Einwilligung ermöglichen. Besonders relevant sind hier die Regelungen in den §§ 5 und 6, die den Zugang zu Daten für Forschungszwecke erweitern sollen.

Gleichzeitig steht das Gesetz im Zusammenhang mit dem geplanten Europäischer Gesundheitsdatenraum (EHDS), der europaweit den Austausch und die Nutzung von Gesundheitsdaten verbessern soll.

Die zentrale Botschaft der Aufsichtsbehörde ist jedoch eindeutig: Das GDNG führt nicht automatisch zu weniger Aufwand. Einwilligungen bleiben in vielen Fällen erforderlich, und auch bestehende landesrechtliche Regelungen behalten ihre Bedeutung. Unternehmen müssen daher weiterhin genau prüfen, auf welcher Rechtsgrundlage sie Daten verarbeiten.

Datenschutz bleibt ein strategischer Erfolgsfaktor

Gerade in der Gesundheitsforschung ist Vertrauen ein entscheidender Faktor. Patientinnen und Patienten geben sensible Daten nur dann preis, wenn sie sicher sein können, dass diese verantwortungsvoll genutzt werden.

Das bedeutet für Unternehmen: Datenschutz ist nicht nur eine rechtliche Pflicht, sondern ein echter Wettbewerbsvorteil. Wer frühzeitig klare Prozesse etabliert, Risiken bewertet und Schutzmaßnahmen umsetzt, schafft die Grundlage für nachhaltige Forschung und stabile Kooperationen.

Die Orientierungshilfe betont daher, wie wichtig es ist, Datenschutzanforderungen bereits in der Projektplanung mitzudenken – statt sie erst im Nachhinein zu berücksichtigen.

Was Unternehmen jetzt konkret tun sollten

Für Unternehmen im Gesundheitsbereich – ob Forschungseinrichtung, Hersteller oder Dienstleister – wird es entscheidend sein, die neuen Rahmenbedingungen aktiv zu interpretieren und in bestehende Abläufe zu integrieren.

Ein praktischer Ansatzpunkt ist das vom BayLfD bereitgestellte Musterformular für Anträge nach § 6 Abs. 3 GDNG. Es bietet eine hilfreiche Struktur, um Projekte datenschutzkonform zu planen und umzusetzen. Gleichzeitig sollten interne Prozesse regelmäßig überprüft und gegebenenfalls angepasst werden, um den neuen Anforderungen gerecht zu werden.

Unsere Top 5

Orientierungshilfe des BayLfD gezielt nutzen und in Projekte einfließen lassen
Für jedes Vorhaben die passende Rechtsgrundlage sauber prüfen
Landesrechtliche Vorgaben frühzeitig berücksichtigen
Musterformulare als strukturierte Arbeitshilfe einsetzen
Transparenz gegenüber Betroffenen konsequent sicherstellen

AVV vs. SLA: Wenn Verträge die Informationssicherheit ausbremsen

Unternehmen schließen täglich Verträge, um Zusammenarbeit, Leistung und Sicherheit zu regeln.

03 April 2026

Unternehmen schließen täglich Verträge, um Zusammenarbeit, Leistung und Sicherheit zu regeln. Besonders relevant sind dabei Auftragsverarbeitungsverträge (AVV) und Service-Level-Agreements (SLA). Doch genau diese Regelwerke können im Ernstfall zum Problem werden: Dann nämlich, wenn schnelle Entscheidungen gefragt sind – und vertragliche Vorgaben die nötige Flexibilität einschränken.

Gerade im Kontext von Business Continuity, also der Sicherstellung kritischer Geschäftsprozesse im Notfall, entstehen hier Spannungsfelder, die in der Praxis häufig unterschätzt werden.

Wenn Regelwerke kollidieren

Ein AVV regelt, wie personenbezogene Daten im Auftrag verarbeitet werden dürfen – inklusive der Frage, welche Sub-Dienstleister eingesetzt werden dürfen. Änderungen sind in der Regel zustimmungspflichtig.

Ein SLA hingegen definiert messbare Leistungsziele, etwa Verfügbarkeiten oder Reaktionszeiten bei Störungen.

Das Problem liegt auf der Hand: Während ein SLA schnelle Reaktionen verlangt, kann ein AVV genau diese Reaktionsfähigkeit einschränken. Im IT-Notfall entsteht so ein Zielkonflikt zwischen Vertragstreue und operativer Handlungsfähigkeit.

Ein typisches Praxisbeispiel

Ein Unternehmen nutzt einen festgelegten Sub-Dienstleister für den automatisierten E-Mail-Versand. Kommt es zu einem Ausfall, kann die vereinbarte Verfügbarkeit aus dem SLA nicht mehr eingehalten werden.

Naheliegend wäre es, kurzfristig auf einen alternativen Anbieter auszuweichen. Doch genau das ist durch den AVV untersagt – zumindest ohne vorherige Zustimmung des Kunden.

Die Verantwortlichen stehen vor einer schwierigen Entscheidung:
Soll ein SLA-Verstoß in Kauf genommen werden?
Oder ist es vertretbar, ohne Zustimmung einen anderen Dienstleister einzusetzen, um größeren Schaden abzuwenden?

Solche Entscheidungen müssen oft unter hohem Zeitdruck getroffen werden – und bergen rechtliche wie operative Risiken.

Warum diese Situation so kritisch ist

In der Theorie sind Verantwortlichkeiten klar geregelt. In der Praxis jedoch treffen unterschiedliche Interessen aufeinander: Rechtssicherheit, Datenschutz, Verfügbarkeit und Unternehmensrisiken müssen gleichzeitig berücksichtigt werden.

Besonders herausfordernd wird es, wenn mehrere Hierarchieebenen oder externe Ansprechpartner eingebunden sind. Schnelle Abstimmungen sind dann kaum möglich – und genau das kann im Notfall entscheidend sein.

Hinzu kommt: Viele Verträge wurden in stabilen Zeiten erstellt und berücksichtigen keine dynamischen Bedrohungsszenarien oder akuten Krisensituationen.

Lösungsansätze für mehr Handlungssicherheit

Um solche Konflikte zu vermeiden, lohnt sich ein proaktiver Blick auf Vertragsgestaltung und Notfallplanung.

Sinnvoll sind beispielsweise klar definierte Notfallklauseln, die den Einsatz alternativer Dienstleister unter bestimmten Bedingungen erlauben. Ebenso wichtig ist eine mehrstufige Dienstleisterstrategie: Wer bereits im Vorfeld mögliche Ersatzanbieter identifiziert und vertraglich eingebunden hat, kann im Ernstfall deutlich schneller reagieren.

Ein weiterer zentraler Punkt ist die Verzahnung von Business-Continuity-Management und Vertragsmanagement. Notfallpläne sollten nicht nur technische Abläufe beschreiben, sondern auch rechtliche Rahmenbedingungen berücksichtigen.

Regelmäßige Überprüfungen der bestehenden Verträge helfen zudem, diese an aktuelle Risiken und technologische Entwicklungen anzupassen.

Fazit

AVV und SLA erfüllen wichtige Funktionen – können aber im Zusammenspiel unbeabsichtigte Hürden schaffen. Eine pauschale Lösung gibt es nicht. Entscheidend ist vielmehr, potenzielle Konflikte frühzeitig zu erkennen und vertraglich zu entschärfen.

Unternehmen, die ihre Verträge regelmäßig prüfen und Notfallszenarien aktiv mitdenken, schaffen sich einen entscheidenden Vorteil: Sie bleiben auch in kritischen Situationen handlungsfähig.

Unsere Top 5

Notfallklauseln frühzeitig verhandeln und klar definieren
Alternative Dienstleister strategisch vorbereiten und absichern
Business Continuity und Vertragsmanagement eng verzahnen
Verträge regelmäßig prüfen und anpassen
Kritische Abhängigkeiten erkennen und gezielt reduzieren