DSGVO-Subunternehmer: Warum die Bewertung Ihrer Dienstleister zu einem entscheidenden Thema für Ihr Unternehmen geworden ist
Die Auslagerung der Datenverarbeitung an einen Dienstleister entbindet das Unternehmen niemals von seinen Verantwortlichkeiten. Seit 2021 CNIL hat die Sanktionen gegen Organisationen verschärft, die ihre Mitarbeiter nicht ordnungsgemäß bewertet oder reguliert hatten DSGVO-Unterauftragnehmer 1 Million Euro gegen Mobius Solutions im Dezember 2025, 1,5 Millionen Euro gegen Dedalus Biologie, 600.000 Euro gegen die Canal+ Group, 800.000 Euro gegen Discord. Die Botschaft ist klar: Lagern Sie die Verarbeitung aus. personenbezogene Daten Die Einhaltung wird nicht delegiert.
Für Manager hat sich der Fokus von rechtlichen Fragen hin zum Risikomanagement verlagert. Die Bewertung von Dienstleistern und die Formalisierung von der DSGVO-UnterauftragsvertragDie Überwachung der Lieferkette über einen längeren Zeitraum: Dies sind rechtliche Verpflichtungen, deren Nichteinhaltung kostspielig ist.
Die Rolle des DSGVO-Subunternehmers und seine Pflichten verstehen
Wer ist ein Unterauftragnehmer im Sinne der DSGVO?
Die DSGVO definiert einen Datenverarbeiter als jede natürliche oder juristische Person, die Daten verarbeitet personenbezogene Daten im Namen von DatenverantwortlicherSobald ein Dienstanbieter auf Daten zugreift, diese hostet, analysiert oder speichert, personenbezogene Daten Wenn Sie ihm etwas anvertrauen, ist er ein Subunternehmer: Cloud-Hoster, SaaS-Anbieter, Lohnabrechnungsdienstleister, Marketingagenturen, Callcenter, CRM-, E-Mail-Anbieter, IT-Wartungsunternehmen.
Die Grenze mit dem Status von Datenverantwortlicher Das ist nicht immer offensichtlich. Ein Dienstleister, der über Zweck und Art der Datenverarbeitung entscheidet, fällt in eine höhere Kategorie und trägt dann die volle Verantwortung. Genau in diese Falle tappte Mobius Solutions Ltd., die daraufhin von der zuständigen Behörde mit einer Geldstrafe von einer Million Euro belegt wurde. CNIL im Dezember 2025 wegen der Wiederverwendung von Deezer-Daten zur Verbesserung eigener Dienste ohne Anweisung des Kunden.
Die in Artikel 28 dargelegten Verpflichtungen des Unterauftragnehmers
Artikel 28 der DSGVO listet ausdrücklich die Pflichten des Subunternehmers : ausschließlich gemäß dokumentierter Anweisungen handeln, die Vertraulichkeit des autorisierten Personals gewährleisten, geeignete technische und organisatorische Sicherheitsmaßnahmen umsetzen, die Datenverantwortlicher bei der Wahrung der Rechte von Einzelpersonen und der Meldung von Verstößen, der Löschung oder Rückgabe von Daten nach Beendigung der Dienstleistung und der Aufrechterhaltung eines Verarbeitungstätigkeitenregister spezifisch für seine Tätigkeit.
Diese letzte Verpflichtung wird oft übersehen. Die französische Datenschutzbehörde CNIL hat sie jedoch in mehreren aktuellen Sanktionen, darunter im Fall Mobius Solutions, angeführt. Wer kein Register führt, verliert im Falle einer Prüfung den wichtigsten Nachweis für die Einhaltung der Vorschriften.
Weitervergabe von Unteraufträgen: Vorherige Genehmigung ist zwingend erforderlich
Ein Subunternehmer darf einen weiteren Subunternehmer nur mit vorheriger schriftlicher Genehmigung, sei es spezifisch oder allgemein, beauftragen („Kaskadenprinzip“). DatenverantwortlicherBei allgemeiner Autorisierung muss der Anbieter den Kunden über alle Änderungen informieren, damit dieser Widerspruch einlegen kann. Ein SaaS-Anbieter, der auf einen Cloud-Hosting-Anbieter angewiesen ist, welcher wiederum einen Monitoring-Subanbieter nutzt, muss jeden einzelnen Schritt in der Kette dokumentieren können.
Die Pflicht zur Bewertung von Subunternehmern: eine allzu oft vernachlässigte Pflicht
Eine explizite und strukturierende Verpflichtung der DSGVO
Artikel 28 Absatz 1 der DSGVO ist eindeutig: Datenverantwortlicher „Es werden ausschließlich Subunternehmer eingesetzt, die ausreichende Garantien bieten.“ Dies ist keine Empfehlung, sondern eine zwingende Verpflichtung. Vor Vertragsabschluss muss der Verantwortliche sicherstellen, dass der Dienstleister über die erforderlichen Kompetenzen, Verfahren und die notwendige Organisation verfügt, um Daten gemäß den geltenden Bestimmungen zu verarbeiten.
Dies impliziert ein formalisiertes Bewertungsverfahren: Kriterienraster, Konformitätsfragebogen, Anforderung von Belegen (Sicherheitsrichtlinie, Zertifizierungen, DPA, Register, Bezeichnung eines Datenschutzbeauftragter), Analyse nachfolgender Subunternehmer, Überprüfung des Serverstandorts und etwaiger potenzieller Datentransfers Außerhalb der EU. Diese Beurteilung muss nachverfolgt und aufbewahrt werden – ohne sie kann der Manager weder seine Sorgfaltspflicht noch seine Einhaltung des Rechenschaftspflichtprinzips nachweisen.
CNIL-Sanktionen, die Manager alarmieren sollten
Im Jahr 2024 CNIL Sie verhängte 87 Sanktionen mit einem Gesamtvolumen von über 55 Millionen Euro. Mehrere aktuelle Fälle zeigen, dass die Bewertung und Regulierung ihrer Dienstleister zu einem zentralen Kontrollbereich geworden ist.
Der Fall Dedalus Biologie (April 2022, 1,5 Millionen Euro) bleibt beispielhaft. CNIL Die französische Wettbewerbsbehörde verhängte gegen diesen Softwarehersteller für medizinische Labore eine Sanktion nach einem massiven Datenleck mit Gesundheitsdaten. Neben der Sicherheitslücke wurde vor allem das Fehlen der in Artikel 28 festgelegten Pflichtklauseln in den Standardverträgen als Grund angeführt. Diese Entscheidung markiert einen Wendepunkt: Ein Subunternehmer kann nun direkt bestraft werden, wenn er die Geschäftsbeziehung nicht ordnungsgemäß formalisiert, unabhängig von der Verantwortung des Auftraggebers.
Der Fall Mobius Solutions Ltd / Deezer (Dezember 2025, 1 Million Euro) verdeutlicht die häufigsten Mängel: Datenaufbewahrung über das Vertragsende hinaus, Verarbeitung außerhalb der Anweisungen des Kunden, fehlendes Register, mangelnde Sicherheitsmaßnahmen, die zur Veröffentlichung der Daten von mehreren Millionen Nutzern im Darknet führten.
Der Discord-Fall (2022, 800.000 €) führt zu Sanktionen seitens der Datenverantwortlicher Das Fehlen eines den Bestimmungen von Artikel 28 entsprechenden Vertrags. Die Canal+ Group, die 2022 mit einer Geldstrafe von 600.000 € belegt wurde, wurde insbesondere wegen des Fehlens ausreichender vertraglicher Vereinbarungen bestraft. Stand 27. Januar 2021 CNIL führte seine Doktrin ein, indem er gleichzeitig eine Datenverantwortlicher (150.000 €) und seinem Unterauftragnehmer (75.000 €) wegen Nichtergreifung von Maßnahmen gegen Credential Stuffing.
Was die CNIL bei ihren Prüfungen untersucht
Während Entscheidungen getroffen werden, wird das Kontrollnetz des CNIL Die Details sind nun klarer. Die Behörde prüft die Existenz eines/einer DSGVO-Unterauftragsvereinbarung schriftlich und gemäß Artikel 28, die Dokumentation der Anweisungen, die aktuelle Liste der nachfolgenden Unterauftragnehmer, die tatsächlich umgesetzten technischen und organisatorischen Maßnahmen, die Meldeverfahren für einen Datenschutzverletzung, die Regelungen zur Unterstützung von Einzelpersonen bei der Wahrnehmung ihrer Rechte, die Bedingungen für die Beendigung des Vertrags und die Nachvollziehbarkeit der durchgeführten Prüfungen.
Um Ihre Organisation auf diese Kontrollpunkte vorzubereiten, bieten wir Ihnen folgende Leistungen an: Ein vollständiger Leitfaden für DSGVO-Compliance-Audits beschreibt die anzuwendende Methodik.
Wollen Sie Ihre Subunternehmerkette absichern und Ihre Compliance nachweisen?
Aufbau eines soliden Vertragsrahmens: der DSGVO-Unterauftragsvertrag
Die zwingenden Bestimmungen des Artikels 28 Absatz 3
Die Datenverarbeitungsvereinbarung (DPA), Oder DSGVO-Unterauftragsvereinbarungmuss einen Kernsatz von in der Verordnung vorgeschriebenen Klauseln enthalten: Gegenstand und Dauer der Verarbeitung, Art und Zweck, Art der Daten und Kategorien von Personen, Pflichten und Rechte der DatenverantwortlicherDer Vertrag muss außerdem acht konkrete Verpflichtungen des Unterauftragnehmers enthalten: die Ausführung dokumentierter Anweisungen, die Gewährleistung der Vertraulichkeit, die Durchführung der erforderlichen Sicherheitsmaßnahmen, die Beauftragung weiterer Unterauftragnehmer nur mit Genehmigung, die Unterstützung bei der Beantwortung von Anfragen von Einzelpersonen, die Unterstützung in Sicherheits- und Benachrichtigungsfragen, die Rückgabe oder Löschung von Daten nach Vertragsende und die Bereitstellung aller für Audits notwendigen Informationen.
Die Standard-Geschäftsbedingungen eines Verlags sind im Allgemeinen unzureichend, wie zum Beispiel die CNIL Dedalus und mehrere andere Dienstleister, die inzwischen sanktioniert wurden, wurden dafür kritisiert. Eine Überprüfung jedes einzelnen Vertrags ist unerlässlich.
Fallstricke, die es beim Schreiben zu vermeiden gilt
Mehrere Fehler untergraben regelmäßig die Einhaltung der Vorschriften. Eine Klausel, die den Subunternehmer vollständig von der Haftung befreit, ist gegenüber dem CNIL was das Opfer eines Lecks betrifft. Eine fehlende oder veraltete Liste nachfolgender Subunternehmer legt die Datenverantwortlicher zu einem Fehlschlag. Vage beschriebene Sicherheitsmaßnahmen reichen nicht aus: die CNIL erwartet ein konkretes, überprüfbares und datiertes Referenzdokument. Das Fehlen eines Verfahrens zur Meldung von Verstößen oder Fristen, die mit den 72 Stunden, die dem/der/den Betroffenen auferlegt wurden, nicht vereinbar sind, Datenverantwortlicher, wird systematisch gegenüber säumigen Subunternehmern einbehalten.
Die zentrale Rolle des Datenschutzbeauftragten und der Daten-Governance
DER Datenschutzbeauftragter Der Datenschutzbeauftragte spielt eine zentrale Rolle: Er leitet die Bewertung von Dienstleistern, prüft Vertragsklauseln, überwacht das Verzeichnis der Subunternehmer und macht die Geschäftsleitung auf Risiken aufmerksam. In Abwesenheit eines Datenschutzbeauftragten DatenschutzbeauftragterDiese Aufgaben müssen von einer klar definierten Funktion durchgeführt werden. Datenverwaltung maßgeblich hängt es von der Fähigkeit ab, die Beziehung zu den Subunternehmern über die Zeit aufrechtzuerhalten.
Beziehungsmanagement im Zeitverlauf: Audits, Überwachung und Vorfallmanagement
Eine fortlaufende Verpflichtung, keine bloße Formalität bei der Unterschrift
Es genügt nicht, es in einen Vertrag aufzunehmen. Datenverantwortlicher muss im Laufe der Zeit sicherstellen, dass sein Dienstleister seine Verpflichtungen einhält: regelmäßige Audits, jährliche Überprüfung der DPAsystematische Aktualisierung im Falle einer Änderung (neuer nachfolgender Subunternehmer, neuer Leistungsumfang, neuer Serverstandort).
Dort CNIL ist eindeutig: Die Verwendung eines Subunternehmers befreit niemals von der Datenverantwortlicher Canal+ wurde wegen Verletzung seiner Sorgfaltspflicht sanktioniert. Die Sanktion beruhte genau auf der Feststellung, dass die effektive Überwachung der Dienstleister nicht umgesetzt wurde. Im Gegensatz dazu beweist ein Unternehmen, das Prüfberichte, ausgefüllte Fragebögen und Maßnahmenpläne vorlegen kann, seine Sorgfaltspflicht, selbst im Falle eines Vorfalls.
DER Viqtor-Subunternehmermodul Die Bewertung, der Vertrag, nachfolgende Unterauftragnehmer, Prüfungen und die Historie der Transaktionen werden in einem einzigen Repository zentralisiert.
Reaktion auf eine Datenschutzverletzung bei einem Dienstanbieter
Ein erheblicher Anteil der Verstöße, die jedes Jahr der Polizei gemeldet werden, CNIL beinhaltet einen Subunternehmer. Datenverantwortlicher Daher muss von Anfang an ein Schnellwarnsystem im Vertrag vorgesehen sein. Der Subunternehmer ist verpflichtet, seinen Auftraggeber „so schnell wie möglich“ zu informieren, was in der Praxis 24 bis 48 Stunden bedeutet, um die Benachrichtigung innerhalb der gesetzlichen 72-Stunden-Frist zu ermöglichen. CNILUnsere Seite, die dem gewidmet ist Erklärung zu Datenschutzverletzungen Er beschreibt die einzelnen Schritte detailliert.
Was Sie beachten sollten
- Jeder Dienstleister, der sich mit personenbezogene Daten für Ihr Konto ist ein DSGVO-Unterauftragnehmerund bezieht sowohl Ihre als auch seine Verantwortung mit ein.
- Die vorherige Beurteilung eines Subunternehmers ist eine ausdrückliche Verpflichtung gemäß Artikel 28 Absatz 1 der DSGVO und keine bewährte Vorgehensweise.
- DER DSGVO-Unterauftragsvereinbarung (DPA) müssen alle zwingenden Klauseln des Artikels 28 enthalten; Standard-Allgemeine Geschäftsbedingungen reichen fast nie aus.
- Die Sanktionen CNIL Jüngste Fälle (Mobius 1 Mio. €, Dedalus 1,5 Mio. €, Canal+ 600.000 €, Discord 800.000 €) zeigen, dass die Behörde sowohl säumige Dienstleister als auch fahrlässige Kunden sanktioniert.
- Die Einhaltung wird durch Dokumentation nachgewiesen: Register, Audits, Berichte, Aktionspläne.
- Eine Unterauftragsbeziehung wird über einen längeren Zeitraum hinweg gestaltet, nicht nur zum Zeitpunkt der Vertragsunterzeichnung.
FAQ – DSGVO-Unterauftragnehmer
Welche Pflichten hat ein Subunternehmer gemäß der DSGVO?
Der Subunternehmer darf nur auf Grundlage dokumentierter Anweisungen des Auftraggebers handeln. Datenverantwortlicher, die Vertraulichkeit gewährleisten, angemessene Sicherheitsmaßnahmen ergreifen, Aufzeichnungen über seine Aktivitäten führen, seinen Kunden bei der Verwaltung von Rechten und Verstößen unterstützen, nachfolgende Unterauftragnehmer nur mit schriftlicher Genehmigung einsetzen und Daten nach Vertragsende zurückgeben oder löschen.
Kann ein Subunternehmer einen weiteren Subunternehmer einsetzen (kaskadierende Subunternehmervergabe)?
Ja, mit vorheriger schriftlicher Genehmigung der DatenverantwortlicherSpezifische oder allgemeine Ermächtigung. Im Falle einer allgemeinen Ermächtigung muss der Unterauftragnehmer seinen Auftraggeber über jegliche Änderungen informieren, damit dieser Einspruch erheben kann. Der ursprüngliche Unterauftragnehmer bleibt für die Vertragserfüllung des nachfolgenden Unterauftragnehmers vollumfänglich verantwortlich und muss diesem dieselben vertraglichen Verpflichtungen auferlegen.
Welche Strafen drohen einem Subunternehmer bei Nichteinhaltung der DSGVO?
Ein Subunternehmer kann von der CNIL Bis zu 10 Millionen Euro oder 2.140.000 des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Mobius Solutions Ltd (1 Million Euro im Dezember 2025) und Dedalus Biologie (1,5 Millionen Euro im April 2022) sind aktuelle Beispiele. Der Unterauftragnehmer kann gemäß Artikel 82 auch gegenüber den betroffenen Personen haftbar gemacht werden.
Welche Klauseln sollten in einem DSGVO-Unterauftragsvertrag enthalten sein?
DER DPA Die Erklärung muss Gegenstand, Dauer, Art und Zweck der Verarbeitung, die Kategorien der Daten und betroffenen Personen beschreiben und die acht Verpflichtungen aus Artikel 28 Absatz 3 enthalten: dokumentierte Anweisungen, Vertraulichkeit, Sicherheit, Überwachung nachfolgender Unterauftragnehmer, Unterstützung bei der Wahrung der Rechte betroffener Personen, Unterstützung bei der Benachrichtigung, Rückgabe oder Vernichtung der Daten nach Vertragsende und Bereitstellung von Informationen für Audits. Die Liste der nachfolgenden Unterauftragnehmer ist beizufügen.
Wie wählt ein KMU einen DSGVO-konformen Subunternehmer aus?
Die Bewertung basiert auf einigen wenigen Schlüsselkriterien: dem Vorhandensein eines DPA konform, Vorhandensein eines DatenschutzbeauftragterDatenstandort (vorzugsweise EU), Sicherheitszertifizierungen (ISO 27001, HDS für das Gesundheitswesen), eine aktuelle Liste der nachfolgenden Subunternehmer, Referenzen und eine Historie von Vorfällen. Ein vollständig ausgefüllter und aufbewahrter Fragebogen zur Einhaltung der Vorschriften dient im Falle einer Prüfung als Nachweis Ihrer Sorgfaltspflichten.
Welche Verantwortlichkeiten hat ein Cloud-Hosting-Anbieter als DSGVO-Unterauftragnehmer?
Ein Cloud-Hosting-Anbieter, der hostet personenbezogene Daten Für den Auftraggeber handelt es sich hierbei um einen Unterauftragnehmer. Dieser muss die Sicherheit gewährleisten (Verschlüsselung, Zugriffskontrolle, Datensicherung), den Auftraggeber im Falle einer Datenschutzverletzung informieren, nachfolgende Unterauftragnehmer beaufsichtigen, die Datenportabilität und effektive Löschung ermöglichen und Transparenz hinsichtlich Datenstandort und -übertragungen gewährleisten. Für Gesundheitsdaten sind spezifische Zertifizierungen wie beispielsweise HDS erforderlich.
Die Bewertung, Überwachung und Steuerung Ihrer Subunternehmer ist nichts, was improvisiert werden kann.
Um mehr zu erfahren: Alle unsere Ressourcen zur DSGVO-Konformität finden Sie hier: Viqtor-Plattform.