Datenschutzvorfälle beim Auftragsverarbeiter stellen eine besondere Herausforderung dar: Die Daten liegen bei einem Dienstleister, der Vorfall wird vielleicht gar nicht sofort gemeldet – und dennoch ist das eigene Unternehmen voll verantwortlich. Viele Verantwortliche glauben, dass mit einem AV-Vertrag die Verantwortung abgegeben ist. Tatsächlich ist das Gegenteil der Fall: Wer personenbezogene Daten durch Dritte verarbeiten lässt, bleibt Herr der Verfahren – mit allen rechtlichen Konsequenzen.
Dieser Artikel erklärt, was bei Datenschutzverletzungen beim Auftragsverarbeiter zu beachten ist, welche Rolle Verantwortliche einnehmen und wie sich Risiken durch klare Prozesse, gute Verträge und aktives Handeln reduzieren lassen.
Zielgruppe sind Unternehmen, die personenbezogene Daten durch externe Dienstleister verarbeiten lassen – also nahezu alle modernen Organisationen.
Rechtlicher Hintergrund
Um zu verstehen, wer bei einer Datenschutzverletzung was tun muss, hilft ein kurzer Blick in die Rollenverteilung der DSGVO: Sie unterscheidet zwischen dem Verantwortlichen und dem Auftragsverarbeiter.
Der Verantwortliche entscheidet über Zwecke und Mittel der Verarbeitung – und bleibt auch dann verantwortlich, wenn ein Dienstleister tätig wird. Die Verarbeitung im Auftrag ist keine rechtlich „entlastende“ Weitergabe: Die Verantwortung bleibt beim Auftraggeber, auch wenn die technische Durchführung ausgelagert wird.
Der Auftragsverarbeiter handelt ausschließlich auf Weisung und darf nur im Rahmen der vertraglichen Vereinbarung tätig werden. Die Rechenschaftspflicht, Risikoabschätzung und Meldung obliegen dennoch dem Verantwortlichen. Meldungen des Auftragsverarbeiters ersetzen diese Pflicht nicht, sondern sind nur ein Element im Gesamtprozess.
Was sagt eine Aufsichtsbehörde?
Die hessische Aufsichtsbehörde HMDI stellt in Kapitel 17.3 ihres Tätigkeitsberichtes (externer Link) klar: Datenschutzverletzungen beim Auftragsverarbeiter entbinden den Verantwortlichen nicht von seiner Pflicht zur Prüfung, Bewertung und ggf. Meldung.
Die Datenverarbeitung durch Dritte ist und bleibt rechtlich dem Verantwortlichen zuzurechnen. Der Auftragsverarbeiter muss unverzüglich informieren – aber der Verantwortliche muss selbst bewerten, ob eine Meldung nach Art. 33 DSGVO notwendig ist. Aussagen wie „wir haben das schon mit der Behörde geklärt“ reichen nicht aus – die Pflicht zur eigenständigen Bewertung bleibt bestehen.
Typische Fallstricke aus der Praxis
- Keine klaren Fristen im AV-Vertrag: Ohne feste Vorgaben (z. B. 12 Stunden) kann der Verantwortliche nicht rechtzeitig handeln.
- Inoffizielle oder vage Meldungen: Aussagen wie „technische Probleme“ sind nicht ausreichend.
- Fehlende Notfallroutinen: Ohne festgelegte Abläufe entsteht Verzögerung oder Überreaktion.
- Irrglaube: „Wenn der Verarbeiter meldet, bin ich raus“ – nein, der Verantwortliche muss selbst bewerten und handeln.
Empfehlungen für Unternehmen
- AV-Verträge präzise und mit konkreten Fristen gestalten
- Dienstleister sorgfältig auswählen, Sicherheitsstandards prüfen
- Interne Notfallprozesse definieren, Schulungen durchführen
- Zusammenarbeit regelmäßig evaluieren
Was tun im Ernstfall?
Der 5-Punkte-Plan:
- Offizielle, schriftliche Meldung vom Dienstleister anfordern
- Eigenständige Risikobewertung vornehmen
- 72-Stunden-Frist im Blick behalten (Meldepflicht prüfen)
- Interne und externe Kommunikation abstimmen
- Nachbearbeitung und Prozessoptimierung durchführen
Wichtig: Jede Maßnahme dokumentieren, auch wenn sich der Vorfall am Ende als harmlos herausstellt.
Fazit
Datenschutzverantwortung kann man nicht outsourcen. Der Auftraggeber bleibt in der Pflicht – auch wenn er alles richtig macht. Nur wer vorbereitet ist, klare Regeln definiert und Vorfälle professionell bewertet, schützt sich wirksam vor Schäden, Bußgeldern und Reputationsrisiken.
Vertrauen ist gut – strukturierte Kontrolle ist besser.
Nützliche Goodies:
Checkliste
- Schriftliche Meldung mit Details anfordern
- Risikoabschätzung für eigene Betroffenheit durchführen
- 72-Stunden-Frist berechnen
- Meldepflicht klären und ggf. umsetzen
- Interne Kommunikation abstimmen
- Maßnahmen dokumentieren
Musteranfrage des Verantwortlichen an den Auftragsverarbeiter bei einem vermuteten Datenschutzvorfall
Betreff: Bitte um offizielle Information gemäß Art. 28 DSGVO – möglicher Sicherheitsvorfall
Sehr geehrte Damen und Herren,
uns liegen Hinweise vor, dass es bei Ihnen zu einem sicherheitsrelevanten Vorfall im Zusammenhang mit der Verarbeitung personenbezogener Daten gekommen sein könnte.
Da Sie in unserem Auftrag personenbezogene Daten verarbeiten, bitten wir Sie auf Grundlage von Art. 28 Abs. 3 lit. f DSGVO um eine schnelle und verbindliche schriftliche Information zu folgenden Punkten:
-
-
-
Beschreibung des Vorfalls: Gab es einen Vorfall, falls ja, was genau ist wann geschehen? (inkl. Datum/Uhrzeit der Entdeckung)
-
Betroffene Daten: Welche personenbezogenen Daten und welche Kategorien betroffener Personen sind potenziell betroffen?
-
Systeme und Dienste: Welche Systeme, Anwendungen oder Unterauftragnehmer waren involviert?
-
Risikobewertung: Besteht nach Ihrer Einschätzung ein Risiko für die Rechte und Freiheiten betroffener Personen?
-
Maßnahmen: Welche Sofortmaßnahmen haben Sie bereits ergriffen? Welche weiteren Schritte sind geplant?
-
Meldung an Aufsichtsbehörde: Haben Sie bereits eine Meldung an eine Datenschutzaufsichtsbehörde abgegeben? Wenn ja, an welche und mit welchem Inhalt?
-
-
Bitte stellen Sie uns diese Informationen zeitnah, spätestens innerhalb der nächsten 12 Stunden zur Verfügung, damit wir unsere eigenen Verpflichtungen gemäß Art. 33 und 34 DSGVO erfüllen und den Vorfall bewerten können.
Für Rückfragen stehen wir selbstverständlich zur Verfügung.
Mit freundlichen Grüßen
[Name, Position, Unternehmen]
[Kontaktdaten]
Kurz-FAQ
- Bin ich verpflichtet zu handeln, wenn mein Verarbeiter gehackt wurde? Ja.
- Reicht es, wenn er selbst meldet? Nein.
- Was passiert, wenn ich nicht reagiere? Mögliche Bußgelder – trotz Fremdverschulden.
//Christian Seehafer