DSGVO-Konformität als Marketingversprechen: Warum Unternehmen sich nicht auf Aussagen von Auftragsverarbeitern verlassen dürfen

von Nadja-Maria

Die pauschale Aussage von Dienstleistern, ihre Leistungen oder Produkte seien „DSGVO-konform“, ist im Markt mittlerweile weit verbreitet.

Insbesondere Anbieter von Cloud-Lösungen, Software-as-a-Service oder IT-Dienstleistungen nutzen diese Formulierung gezielt als vertriebsunterstützendes Argument. Für Unternehmen kann dadurch der Eindruck entstehen, dass die datenschutzrechtliche Prüfung eines solchen Dienstleisters entbehrlich sei oder zumindest deutlich reduziert werden könne. Diese Annahme ist jedoch rechtlich unzutreffend und in der Praxis mit erheblichen Risiken verbunden.

Rechtlicher Rahmen: Anforderungen aus Art. 28 DSGVO

Ausgangspunkt der rechtlichen Bewertung ist Art. 28 DSGVO. Danach dürfen Verantwortliche ausschließlich solche Auftragsverarbeiter einsetzen, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen implementiert wurden und die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt. Diese Verpflichtung ist nicht delegierbar und verbleibt vollständig beim Verantwortlichen.

Daraus folgt unmittelbar, dass eine eigenständige Prüfung des Auftragsverarbeiters zwingend erforderlich ist. Diese umfasst sowohl die Auswahl als auch die laufende Kontrolle der Einhaltung datenschutzrechtlicher Anforderungen.

Problemstellung: „DSGVO-konform“ ist kein belastbares Kriterium

Die häufig verwendete Aussage „DSGVO-konform“ ist rechtlich nicht definiert und entfaltet keine verbindliche Aussagekraft. Insbesondere handelt es sich hierbei weder um ein Zertifikat im Sinne der Art. 42 ff. DSGVO noch um eine durch eine unabhängige Stelle geprüfte Bestätigung. Vielmehr ist diese Aussage regelmäßig als werbliche Selbsteinschätzung des Dienstleisters einzuordnen.

Hinzu kommt, dass die DSGVO einem risikobasierten Ansatz folgt. Die konkreten Anforderungen an die Verarbeitung personenbezogener Daten hängen maßgeblich von Art, Umfang, Kontext und Zweck der Verarbeitung ab. Eine pauschale Aussage zur Konformität kann diese Differenzierung systematisch nicht abbilden. Unternehmen, die sich ausschließlich auf solche Angaben verlassen, verzichten faktisch auf eine notwendige eigenständige Risikobewertung.

Auswirkungen in der Praxis: Verantwortung und Haftung verbleiben beim Unternehmen

Für Unternehmen ergibt sich daraus eine klare Konsequenz: Die Verantwortung für die datenschutzkonforme Verarbeitung verbleibt auch bei der Einbindung von Auftragsverarbeitern beim Verantwortlichen. Eine Berufung auf Marketingaussagen des Dienstleisters entfaltet im Haftungsfall keine entlastende Wirkung.

Typische Risikofelder sind dabei unzureichende technische und organisatorische Maßnahmen, unvollständige oder fehlerhafte vertragliche Regelungen sowie intransparente Subunternehmerstrukturen. Ohne strukturierte Prüfung entsteht ein erhebliches Compliance-Risiko, das sich sowohl in aufsichtsbehördlichen Maßnahmen als auch in Bußgeldern niederschlagen kann.

Handlungsempfehlung: Strukturierte Prüfung von Auftragsverarbeitern

Vor diesem Hintergrund ist es erforderlich, einen systematischen Prüfprozess für Auftragsverarbeiter zu etablieren. Im Mittelpunkt steht zunächst die Bewertung der technischen und organisatorischen Maßnahmen, insbesondere im Hinblick auf Zugriffskontrollen, Verschlüsselung, Verfügbarkeit und Belastbarkeit der Systeme sowie Verfahren zur regelmäßigen Überprüfung dieser Maßnahmen.

Darüber hinaus ist der Abschluss und die inhaltliche Prüfung eines Auftragsverarbeitungsvertrags gemäß Art. 28 Abs. 3 DSGVO zwingend erforderlich. Dieser muss klare Regelungen zu Weisungsrechten, Unterauftragsverhältnissen sowie Kontroll- und Auditmöglichkeiten enthalten.

Ergänzend ist die Zuverlässigkeit des Dienstleisters insgesamt zu bewerten. Hierzu zählen etwa vorhandene Zertifizierungen, die Transparenz hinsichtlich eingesetzter Subdienstleister sowie die organisatorische Reife im Umgang mit Datenschutz- und Informationssicherheitsanforderungen. Die Bewertung sollte stets unter Einbindung des Datenschutzbeauftragten erfolgen, um eine fachlich fundierte und rechtssichere Einordnung sicherzustellen.

Fazit: Marketing ersetzt keine Compliance

Zusammenfassend ist festzuhalten, dass die Aussage „DSGVO-konform“ kein geeignetes Entscheidungskriterium für die Auswahl eines Auftragsverarbeiters darstellt. Sie ersetzt weder die gesetzlich geforderte Prüfung noch reduziert sie die Verantwortung des Verantwortlichen. Unternehmen, die auf eine strukturierte Bewertung verzichten, setzen sich vermeidbaren rechtlichen und wirtschaftlichen Risiken aus.

Falls Sie Fragen zum geschilderten Thema und/oder zu anderen datenschutzrelevanten Themen haben, kontaktieren Sie uns einfach!

Zentrale Hutthurm: +49 (0) 8505 91927 – 0

Niederlassung München: +49 (0) 89 413 2943 – 0

Oder nutzen Sie unser Kontaktformular.

/assets/images/t/Nadja-22bmdatj0e84j29.png
Nadja-Maria

Nadja-Maria leitet unser Inhouse-Juristen-Team. Sie studierte an der Universität Passau Rechtswissenschaften mit anschließendem Referendariat sowie erstem und zweitem Staatsexamen. Ihr Spezialgebiet ist Datenschutzrecht. Ihr fundiertes Wissen hält sie jederzeit aktuell. Für unsere Kunden und unser Team hat sie so immer einen Rat für eine passgenaue Lösung parat.