Lieferanten-Datenschutzprüfung: 10 Schritte zur sicheren Dienstleisterbewertung

Warum diese Checkliste entscheidend ist

Als Verantwortlicher im Sinne der DSGVO haften Sie nicht nur für Ihre eigene Datenverarbeitung, sondern auch für die Ihrer Auftragsverarbeiter. Jeder externe Dienstleister, der in Ihrem Auftrag personenbezogene Daten verarbeitet, ob Cloud-Anbieter, IT-Dienstleister, Steuerberater oder Reinigungsfirma mit Bürozugang, muss die Anforderungen der DSGVO nachweislich erfüllen. Datenschutzverstöße eines Dienstleisters können direkt auf Sie als Auftraggeber zurückfallen.

Trotzdem verzichten viele Unternehmen auf eine systematische Datenschutzprüfung ihrer Lieferanten oder führen diese nur oberflächlich durch. Die Folgen reichen von unwirksamen Auftragsverarbeitungsverträgen über DSGVO-Bußgelder bis hin zum vollständigen Datenverlust bei einem Sicherheitsvorfall beim Dienstleister. Diese Checkliste gibt Ihnen zehn strukturierte Schritte an die Hand, mit denen Sie Ihre Lieferanten gründlich und nachvollziehbar prüfen. Planen Sie etwa 25 Minuten pro Lieferant ein.

---

Die 10 Schritte zur Lieferanten-Datenschutzprüfung

Schritt 1: Lieferantenverzeichnis mit Datenbezug erstellen

• Erstellen Sie ein vollständiges Verzeichnis aller Lieferanten und Dienstleister, die Zugang zu personenbezogenen Daten haben oder diese in Ihrem Auftrag verarbeiten. Erfassen Sie den Firmennamen, die Art der Dienstleistung, die Kategorien der verarbeiteten Daten, den Standort der Datenverarbeitung und den verantwortlichen Ansprechpartner auf Ihrer Seite. Vergessen Sie dabei nicht indirekte Zugänge: Die Reinigungsfirma, die abends allein im Büro ist, der IT-Dienstleister mit Fernwartungszugang oder der Aktenvernichtungsservice.

Schritt 2: Auftragsverarbeitungsverhältnis prüfen

• Klären Sie für jeden Lieferanten, ob ein Auftragsverarbeitungsverhältnis nach Art. 28 DSGVO vorliegt oder ob eine andere datenschutzrechtliche Konstellation besteht. Nicht jede Zusammenarbeit mit Datenverarbeitung ist eine Auftragsverarbeitung. Unterscheiden Sie zwischen Auftragsverarbeitung, gemeinsamer Verantwortlichkeit nach Art. 26 DSGVO und eigenverantwortlicher Verarbeitung. Die korrekte Einordnung bestimmt, welche vertraglichen Regelungen erforderlich sind und wer welche Pflichten trägt.

Schritt 3: Auftragsverarbeitungsvertrag (AVV) prüfen oder abschließen

• Stellen Sie sicher, dass mit jedem Auftragsverarbeiter ein vollständiger und aktueller AVV gemäß Art. 28 DSGVO vorliegt. Der AVV muss Gegenstand und Dauer der Verarbeitung, Art und Zweck, die Kategorien betroffener Personen und Daten, die Pflichten des Auftragsverarbeiters sowie technische und organisatorische Maßnahmen regeln. Prüfen Sie bestehende AVVs auf Vollständigkeit und Aktualität. Für den sicheren Austausch vertraglicher Dokumente mit Lieferanten eignen sich Lösungen wie SendMeSafe, die einen passwortgeschützten und nachvollziehbaren Dokumentenaustausch ermöglichen.

Schritt 4: Technische und organisatorische Maßnahmen bewerten

• Fordern Sie vom Lieferanten eine aktuelle Dokumentation seiner technischen und organisatorischen Maßnahmen (TOM) an und bewerten Sie diese. Prüfen Sie, ob Maßnahmen zur Verschlüsselung, Zugriffskontrolle, Pseudonymisierung, Wiederherstellbarkeit und regelmäßigen Überprüfung implementiert sind. Vergleichen Sie die TOMs mit dem Schutzbedarf der Daten, die Sie dem Lieferanten anvertrauen. Hochsensible Daten erfordern entsprechend höhere Schutzmaßnahmen. Lassen Sie sich die Maßnahmen nicht nur beschreiben, sondern nach Möglichkeit auch nachweisen.

Schritt 5: Standort der Datenverarbeitung prüfen

• Klären Sie, wo genau die personenbezogenen Daten verarbeitet und gespeichert werden, insbesondere bei Cloud-Diensten. Prüfen Sie, ob Daten in Drittländer außerhalb des EWR übertragen werden und ob dafür eine gültige Rechtsgrundlage besteht, etwa ein Angemessenheitsbeschluss, Standardvertragsklauseln oder Binding Corporate Rules. Achten Sie besonders auf US-Dienstleister und prüfen Sie, ob sie dem EU-US Data Privacy Framework beigetreten sind. Dokumentieren Sie die Serverstandorte und Unterauftragsverarbeiter.

Schritt 6: Unterauftragsverarbeiter bewerten

• Fordern Sie vom Lieferanten eine vollständige Liste aller Unterauftragsverarbeiter an und prüfen Sie diese. Gemäß Art. 28 Abs. 2 DSGVO darf der Auftragsverarbeiter nur mit Genehmigung des Verantwortlichen Unterauftragsverarbeiter einsetzen. Prüfen Sie, ob im AVV eine allgemeine oder spezifische Genehmigung vereinbart ist, und ob Sie über Änderungen informiert werden. Bewerten Sie die Unterauftragsverarbeiter nach den gleichen Kriterien wie den Hauptlieferanten, insbesondere hinsichtlich Standort und Sicherheitsmaßnahmen.

Schritt 7: Sicherheitszertifizierungen und Nachweise prüfen

• Fragen Sie nach vorhandenen Zertifizierungen und unabhängigen Sicherheitsnachweisen des Lieferanten. Relevante Zertifizierungen sind ISO 27001 für Informationssicherheit, SOC 2 für Dienstleistungsorganisationen, BSI C5 für Cloud-Anbieter und branchenspezifische Standards. Zertifizierungen ersetzen nicht die eigene Prüfung, sind aber ein starkes Indiz für ein etabliertes Sicherheitsmanagement. Prüfen Sie die Gültigkeit der Zertifikate und den Umfang des Zertifizierungsbereichs.

Schritt 8: Lösch- und Rückgabekonzept vereinbaren

• Vereinbaren Sie vertraglich, wie personenbezogene Daten nach Beendigung der Zusammenarbeit gelöscht oder zurückgegeben werden. Der AVV muss regeln, dass der Auftragsverarbeiter nach Abschluss der Verarbeitung alle personenbezogenen Daten löscht oder zurückgibt und bestehende Kopien vernichtet, sofern keine gesetzliche Aufbewahrungspflicht besteht. Fordern Sie einen schriftlichen Nachweis der Löschung und prüfen Sie, ob der Lieferant über ein dokumentiertes Löschkonzept verfügt.

Schritt 9: Meldeprozess für Datenpannen vereinbaren

• Stellen Sie sicher, dass der Lieferant Sie bei Datenschutzverletzungen unverzüglich benachrichtigt und definieren Sie den Meldeprozess vertraglich. Der Auftragsverarbeiter muss Sie ohne unangemessene Verzögerung informieren, damit Sie Ihrer eigenen 72-Stunden-Meldepflicht gegenüber der Aufsichtsbehörde nachkommen können. Vereinbaren Sie konkrete Meldefristen, Kommunikationswege und Ansprechpartner. Testen Sie den Meldeprozess nach Vertragsabschluss in einer gemeinsamen Übung.

Schritt 10: Regelmäßige Überprüfung und Audit-Rechte sichern

• Sichern Sie sich vertragliche Audit-Rechte und planen Sie regelmäßige Überprüfungen Ihrer Lieferanten. Art. 28 Abs. 3 lit. h DSGVO gibt Ihnen das Recht, Überprüfungen durchzuführen oder von einem unabhängigen Prüfer durchführen zu lassen. Führen Sie jährliche Lieferanten-Reviews durch, bei denen Sie die Aktualität der TOMs, die Einhaltung des AVV und die Unterauftragsverarbeiter-Liste überprüfen. Dokumentieren Sie die Ergebnisse und leiten Sie bei Mängeln Korrekturmaßnahmen ein.

---

Zusammenfassung

Die Datenschutzprüfung Ihrer Lieferanten ist keine einmalige Übung, sondern ein laufender Prozess. Mit den zehn Schritten dieser Checkliste stellen Sie sicher, dass jeder Dienstleister, der in Ihrem Auftrag personenbezogene Daten verarbeitet, die Anforderungen der DSGVO nachweislich erfüllt. Vom Lieferantenverzeichnis über den AVV bis zum regelmäßigen Audit schaffen Sie eine dokumentierte und belastbare Grundlage, die Sie im Fall einer Prüfung schützt.

Nutzen Sie für den sicheren Austausch sensibler Dokumente mit Ihren Lieferanten Werkzeuge wie SendMeSafe, die Verschlüsselung, Zugriffskontrolle und lückenlose Nachvollziehbarkeit bieten. So wird der Dokumentenaustausch im Rahmen der Lieferantenprüfung selbst zum Vorbild für sicheren Datenschutz.

---

Häufig gestellte Fragen

Wie oft muss ich meine Lieferanten überprüfen?

Eine vollständige Überprüfung sollte mindestens einmal jährlich stattfinden. Bei Lieferanten, die besonders sensible Daten verarbeiten oder bei denen es in der Vergangenheit Auffälligkeiten gab, empfehlen sich halbjährliche Reviews. Darüber hinaus sollten Sie anlassbezogene Prüfungen durchführen, wenn der Lieferant Änderungen an seinen Unterauftragsverarbeitern, seinen Sicherheitsmaßnahmen oder seinem Verarbeitungsstandort vornimmt.

Was mache ich, wenn ein Lieferant den AVV nicht unterzeichnen will?

Wenn ein Lieferant sich weigert, einen AVV zu unterzeichnen, oder nur einen unvollständigen Vertrag akzeptiert, ist dies ein ernstes Warnsignal. Ohne wirksamen AVV dürfen Sie dem Lieferanten keine personenbezogenen Daten anvertrauen. Suchen Sie das Gespräch und erklären Sie die rechtliche Notwendigkeit. Wenn der Lieferant nicht einlenkt, müssen Sie die Zusammenarbeit beenden und einen DSGVO-konformen Alternativanbieter finden.

Muss ich auch kleine Dienstleister wie Reinigungsfirmen prüfen?

Ja, wenn sie Zugang zu personenbezogenen Daten haben können. Eine Reinigungsfirma, die allein im Büro arbeitet und Zugang zu unverschlossenen Schränken, Bildschirmen oder Druckern hat, ist datenschutzrechtlich relevant. Der Umfang der Prüfung kann jedoch an das Risiko angepasst werden. Bei geringem Risiko reichen oft eine Vertraulichkeitsvereinbarung und grundlegende Sicherheitsregeln.

Gilt diese Checkliste auch für Cloud-Dienste und SaaS-Anbieter?

Ja, Cloud-Dienste und SaaS-Anbieter sind typische Auftragsverarbeiter und müssen besonders gründlich geprüft werden. Achten Sie bei Cloud-Diensten besonders auf den Standort der Datenverarbeitung, die Unterauftragsverarbeiter-Kette, die Verschlüsselung im Ruhezustand und während der Übertragung sowie auf die Möglichkeit der Datenportabilität und vollständigen Löschung bei Vertragsende.