Viele Unternehmen verlassen sich darauf, dass ihre Dienstleister den Datenschutz schon „richtig machen“. Doch genau hier liegt ein häufig unterschätztes Risiko: Die Kontrolle von Auftragsverarbeitern ist keine freiwillige Zusatzleistung, sondern eine klare gesetzliche Pflicht. Wer sie vernachlässigt, riskiert nicht nur Datenschutzverstöße, sondern auch empfindliche Konsequenzen bei Prüfungen.
Dieser Beitrag zeigt, worauf es bei Dienstleister-Audits wirklich ankommt – und wie Unternehmen diese Aufgabe pragmatisch und wirksam umsetzen können.
Rechtlicher Rahmen: Verantwortung bleibt beim Unternehmen
Die Datenschutz-Grundverordnung (DSGVO) macht die Rollenverteilung eindeutig: Auch wenn externe Dienstleister personenbezogene Daten verarbeiten, bleibt die Verantwortung beim beauftragenden Unternehmen – dem sogenannten „Verantwortlichen“.
Konkret verlangt Art. 28 DSGVO, dass nur mit Dienstleistern zusammengearbeitet wird, die ausreichende Garantien für geeignete technische und organisatorische Maßnahmen (kurz: TOMs) bieten. Das bedeutet in der Praxis: Unternehmen müssen nicht nur vor Vertragsabschluss prüfen, sondern auch laufend kontrollieren, ob diese Anforderungen eingehalten werden.
Ebenso wichtig: Auftragsverarbeiter sind verpflichtet, Audits zu ermöglichen und aktiv zu unterstützen. Diese Mitwirkung ist kein Entgegenkommen, sondern gesetzlich vorgeschrieben.
Was bei einem Audit tatsächlich geprüft wird
Ein wirksames Dienstleister-Audit geht über reine Formalitäten hinaus. Im Fokus steht die Frage, ob Datenschutz im Alltag tatsächlich gelebt wird.
Die Bewertung orientiert sich an zentralen DSGVO-Grundsätzen wie:
- Datenminimierung (nur notwendige Daten werden verarbeitet)
- Zweckbindung (Daten werden nur für festgelegte Zwecke genutzt)
- Wahrung von Betroffenenrechten (z. B. Auskunft oder Löschung)
- Transparenz im Umgang mit Daten
- Sicherheit durch Vertraulichkeit, Integrität und Verfügbarkeit
Darüber hinaus wird das gesamte Datenschutzmanagement des Dienstleisters betrachtet: Gibt es klare Prozesse? Werden Mitarbeitende geschult? Wie werden Sicherheitsvorfälle behandelt?
Ein gutes Audit verbindet dabei Dokumentenprüfung mit praxisnahen Einblicken – etwa durch Interviews oder Stichproben.
Auditkonzept statt Einzelmaßnahme
In der Praxis zeigt sich: Einzelne Prüfungen reichen nicht aus. Sinnvoll ist ein strukturiertes Auditkonzept, das festlegt, welche Dienstleister wann und wie geprüft werden.
Ein risikobasierter Ansatz hat sich bewährt. Das bedeutet: Dienstleister, die besonders sensible Daten (z. B. Gesundheitsdaten) oder große Datenmengen verarbeiten, werden intensiver und häufiger geprüft als weniger kritische Partner.
Zudem sollten Auditprozesse klar dokumentiert sein – von der Planung über die Durchführung bis zur Nachverfolgung von Maßnahmen. Das schafft nicht nur Transparenz, sondern ist auch im Falle einer behördlichen Prüfung ein entscheidender Vorteil.
Mehrwert statt Pflichtübung
Dienstleister-Audits werden oft als zusätzlicher Aufwand wahrgenommen. Richtig umgesetzt, sind sie jedoch ein wirkungsvolles Instrument des Risikomanagements.
Sie helfen dabei, Schwachstellen frühzeitig zu erkennen, Prozesse zu verbessern und die Zusammenarbeit mit Dienstleistern zu professionalisieren. Gleichzeitig stärken sie die eigene Compliance und reduzieren Haftungsrisiken.
Am Ende profitieren alle Beteiligten:
Unternehmen gewinnen Rechtssicherheit, Dienstleister optimieren ihre Abläufe – und die Daten der Betroffenen sind besser geschützt.
Unsere Top 5
- Auditkonzept festlegen: Klare Kriterien, Zuständigkeiten und Prüfintervalle definieren
- Risiken priorisieren: Besonders sensible oder umfangreiche Datenverarbeitungen zuerst prüfen
- Verträge schärfen: Auditrechte, Fristen und Maßnahmen verbindlich im AV-Vertrag regeln
- Nachweise sinnvoll nutzen: Zertifizierungen einbeziehen, aber nicht blind darauf verlassen
- Ergebnisse dokumentieren: Audits sauber protokollieren und Maßnahmen konsequent nachverfolgen