Auftragsverarbeitung und Drittlandtransfers als Lieferkettenthema
Kernaussage
Auftragsverarbeitung und Drittlandtransfers sind kein reines Rechtsthema für die Datenschutzabteilung, sondern ein Steuerungsthema der Lieferkette. Sobald personenbezogene Daten an Dienstleister, Cloud-Plattformen oder konzerninterne Stellen fließen, verlängert sich die Verantwortung über die eigene Organisationsgrenze hinaus. Die Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) bleibt beim Verantwortlichen, auch wenn die Verarbeitung anderswo stattfindet.
Für den CISO heißt das: Lieferanten- und Cloud-Steuerung, Vertragsmanagement nach Art. 28 DSGVO und die Beurteilung von Drittlandtransfers (Art. 44 bis 49 DSGVO) gehören in ein gemeinsames Third-Party-Risk-Modell. Die DSGVO definiert die Pflichten und Schutzziele; das ISMS liefert die Mechanik, um sie nachweisbar zu betreiben.
Problem in der Praxis
In vielen Organisationen ist die Auftragsverarbeitung formal abgedeckt, aber operativ blind. Es existieren unterzeichnete Auftragsverarbeitungsverträge (AVV), doch niemand weiß verlässlich, welche Dienstleister welche personenbezogenen Daten verarbeiten, wo diese Daten liegen und welche Unterauftragsverarbeiter dahinterstehen. Der AVV wird als Beschaffungsformalie behandelt, nicht als Steuerungsinstrument.
Das fällt spätestens auf, wenn eine Aufsichtsbehörde, ein Kunde oder ein Auditor nach Belegen fragt: Welche Garantien hat der Auftragsverarbeiter nachgewiesen? Welche Sub-Prozessoren wurden genehmigt? Wo verlassen Daten den EU-Raum, und auf welcher Rechtsgrundlage?
Beim Drittlandtransfer verschärft sich das Problem, weil viele Standard-SaaS- und Cloud-Dienste faktisch Daten außerhalb der EU verarbeiten oder Zugriffe aus Drittländern ermöglichen, ohne dass dies im Einkauf bewusst entschieden wurde. So entstehen Transfers, die rechtlich abgesichert sein müssen, aber technisch und organisatorisch nie erfasst wurden.
CISO-Einordnung
Art. 28 DSGVO verlangt mehr als einen unterschriebenen Vertrag. Der Kern ist eine Auswahl- und Steuerungslogik: Es dürfen nur Auftragsverarbeiter eingesetzt werden, die hinreichende Garantien für geeignete technische und organisatorische Maßnahmen bieten. Die Verarbeitung erfolgt weisungsgebunden, der Vertrag regelt definierte Mindestinhalte, und der Einsatz von Unterauftragsverarbeitern ist geregelt. Aus CISO-Sicht ist das genau die Schnittstelle, an der Sicherheitsanforderungen vertraglich verankert und im Betrieb geprüft werden.
Der zweite Block sind Drittlandtransfers. Ein Transfer in ein Land außerhalb der EU/des EWR ist nur zulässig auf Basis eines Angemessenheitsbeschlusses, geeigneter Garantien (unter anderem Standardvertragsklauseln, SCC, oder verbindliche interne Datenschutzvorschriften, BCR) oder eng begrenzter Ausnahmen. Seit der Schrems-II-Rechtsprechung reicht das bloße Abschließen von SCC nicht aus; in der Praxis wird zusätzlich eine fallbezogene Risikobetrachtung des Transfers (Transfer Impact Assessment) erwartet, die Rechtslage und Zugriffsmöglichkeiten im Zielland einbezieht. Für Transfers in die USA ist das EU-US Data Privacy Framework als zusätzlicher Rahmen relevant.
Wichtig für die Management-Altitude: Diese Rechtsgrundlagen sind dynamisch. Angemessenheitsentscheidungen und Transfermechanismen können gerichtlich oder politisch in Frage gestellt werden. Der CISO sollte Drittlandtransfers daher nicht als einmalig gelöstes Vertragsthema, sondern als laufend zu überwachendes Lieferkettenrisiko führen.
Die Brücke zur Norm: ISO/IEC 27001 und ISO/IEC 27002 adressieren Lieferanten- und Cloud-Beziehungen als eigenes Themenfeld der Sicherheitssteuerung. Sie liefern damit das Wie für die Garantien, die Art. 28 fordert, und für die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO. ISO/IEC 27701 erweitert diese Logik um das Management von Datenschutzaspekten. Diese Normen werden hier nur als Referenzrahmen genannt; sie ersetzen keine rechtliche DSGVO-Konformität, und eine Zertifizierung ist kein Behörden- oder Rechtsnachweis.
Umsetzungsperspektive
Praktisch trägt ein Modell, das Auftragsverarbeitung und Drittlandtransfer in den bestehenden Lieferanten- und ISMS-Prozess einhängt, statt sie als Datenschutz-Sonderlauf zu führen:
- Ein gepflegtes Inventar der Auftragsverarbeiter, das an das Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO) anschließt und die Datenkategorien, Verarbeitungszwecke und Verarbeitungsorte sichtbar macht.
- Ein Onboarding-Gate im Einkauf: Bevor ein Dienstleister personenbezogene Daten erhält, werden AVV, nachgewiesene Garantien und der Transferstatus geprüft.
- Eine Sub-Prozessor-Steuerung: Genehmigungs- und Informationswege für den Einsatz und Wechsel von Unterauftragsverarbeitern.
- Eine wiederkehrende Bewertung von Drittlandtransfers, dokumentiert und mit Owner versehen, statt einer einmaligen Vertragsablage.
- Ein Reporting, das wesentliche Risiken aus der Lieferkette an die Managementebene und an die Datenschutzfunktion führt.
Der Hebel ist kein perfekter Vertrag, sondern ein wiederholbarer Regelkreis: Auswahl, vertragliche Verankerung, laufende Prüfung der Wirksamkeit, Reaktion auf Veränderungen.
Typische Fehler
- Der AVV wird als Formalie abgelegt, ohne dass die zugesicherten Garantien je geprüft werden.
- Unterauftragsverarbeiter sind vertraglich erlaubt, aber nicht erfasst und nicht nachverfolgt.
- Cloud- und SaaS-Dienste werden eingekauft, ohne den Verarbeitungsort und mögliche Drittlandzugriffe zu klären.
- SCC werden unterzeichnet, aber ohne begleitende Transferbewertung als erledigt betrachtet.
- Drittlandtransfers werden einmalig bewertet und danach nie wieder an die sich ändernde Rechtslage angepasst.
- Datenschutz und Informationssicherheit führen getrennte, nicht abgestimmte Lieferantenlisten.
Risiken und Trade-offs
Eine zu formale Steuerung erzeugt Verträge ohne Wirkung und damit eine trügerische Sicherheit. Eine zu schwere Steuerung verlangsamt Beschaffung und Cloud-Nutzung so stark, dass Fachbereiche an der Kontrolle vorbei arbeiten und Schatten-IT entsteht. Der CISO muss zwischen Kontrolltiefe und Geschäftsgeschwindigkeit balancieren.
Beim Drittlandtransfer besteht ein realer Trade-off zwischen Funktionalität und Datenlokalisierung. Leistungsfähige Dienste sind oft global aufgestellt; strikte EU-Datenhaltung kann Funktionsumfang, Kosten oder Verfügbarkeit beeinflussen. Diese Abwägung ist eine Managemententscheidung, keine rein technische.
Ein weiteres Risiko ist die rechtliche Volatilität: Transfermechanismen können ihre Tragfähigkeit verlieren. Wer keine Alternativen vorgedacht hat, steht bei einer geänderten Rechtslage ohne Handlungsspielraum da.
Entscheidungspunkte
- Welche Dienstleister und Cloud-Dienste verarbeiten überhaupt personenbezogene Daten, und mit welchem Schutzbedarf?
- Welcher Transfermechanismus trägt je Dienst, und wie wird er überwacht?
- Wie wird der Einsatz neuer Unterauftragsverarbeiter genehmigt und kommuniziert?
- Welche Datenarten dürfen ein Drittland erreichen, und wo gilt eine EU-Datenhaltung als Vorgabe?
- Welche Cloud- oder SaaS-Risiken sind so wesentlich, dass die Geschäftsführung sie aktiv mittragen muss?
- Welche Ausweichoptionen bestehen, falls ein Transfermechanismus entfällt?
Praktische Empfehlungen
- Führen Sie Auftragsverarbeitung und Drittlandtransfer im selben Third-Party-Risk-Prozess wie sonstige Lieferantenrisiken.
- Verbinden Sie das Auftragsverarbeiter-Inventar fest mit dem Verzeichnis der Verarbeitungstätigkeiten und mit den Sicherheitsanforderungen aus dem ISMS.
- Machen Sie den AVV zum Steuerungsinstrument: Garantien, Sub-Prozessoren und TOMs gehören regelmäßig auf den Prüfstand, nicht nur in die Ablage.
- Dokumentieren Sie Drittlandtransfers fallbezogen und schreiben Sie sie fort, wenn sich die Rechtslage ändert.
- Definieren Sie pro Datenkategorie klare Vorgaben zur Datenlokalisierung und zu erlaubten Zielregionen.
- Holen Sie sich für verbindliche Einstufungen von Transfermechanismen und Vertragsklauseln qualifizierte rechtliche Beratung; dieser Beitrag ersetzt sie nicht.
Relevante Normreferenzen
- DSGVO (Verordnung (EU) 2016/679): Art. 28 (Auftragsverarbeitung), Art. 30 (Verzeichnis von Verarbeitungstätigkeiten), Art. 32 (Sicherheit der Verarbeitung) sowie Art. 44 bis 49 (Drittlandtransfers). Als EU-Recht frei zugänglich und zitierbar; verbindlich ist der amtliche Volltext.
- BDSG: deutsche Ergänzung/Konkretisierung über Öffnungsklauseln; für verbindliche nationale Detailfragen die jeweils aktuelle Fassung heranziehen.
- ISO/IEC 27001 und ISO/IEC 27002: Referenzrahmen für Lieferanten-, Cloud- und Sicherheitssteuerung (reference-only, keine Wiedergabe von Control-Inhalten).
- ISO/IEC 27701: Referenzrahmen für das Management von Datenschutzaspekten (reference-only).
Häufige Fragen
Reicht ein unterschriebener AVV, um Art. 28 DSGVO zu erfüllen?+
Nein. Der Vertrag ist Voraussetzung, aber es müssen auch die zugesicherten Garantien tatsächlich vorliegen und im Betrieb geprüft werden.
Wer trägt die Verantwortung, wenn ein Auftragsverarbeiter Daten verliert?+
Die Rechenschaftspflicht bleibt beim Verantwortlichen. Die Auswahl, vertragliche Steuerung und Kontrolle des Auftragsverarbeiters sind daher Teil seiner Pflichten.
Sind Standardvertragsklauseln allein ausreichend für Drittlandtransfers?+
In der Praxis wird zusätzlich eine fallbezogene Bewertung des Transfers erwartet, die die Rechtslage und Zugriffsmöglichkeiten im Zielland einbezieht. Verbindliche Einstufungen gehören in die rechtliche Prüfung.
Was hat das mit ISO 27001 zu tun?+
ISO/IEC 27001 und 27002 liefern den Referenzrahmen für Lieferanten- und Cloud-Sicherheitssteuerung und damit das Wie für die von der DSGVO geforderten Garantien und Maßnahmen, ohne die Rechtspflichten zu ersetzen.
Muss ein Drittlandtransfer nach einmaliger Prüfung erneut bewertet werden?+
Ja. Transfermechanismen können ihre Tragfähigkeit verlieren; die Bewertung sollte fortgeschrieben und überwacht werden.
Vom Wissen zur Umsetzung
Die Cybervize-Plattform und unsere Beratung setzen DSGVO & ISO 27701 prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.
Passende Leistung ansehenVerwandte Artikel
Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: dsgvo-005.
