Datenweitergabe an Drittanbieter: Die unterschätzte Gefahr für Unternehmen

Compliance bedeutet im Kern, dass ein Unternehmen alle geltenden gesetzlichen, regulatorischen und vertraglichen Verpflichtungen einhält. In Bezug auf die Weitergabe personenbezogener Daten an Drittanbieter ist dies besonders entscheidend – denn hier drohen nicht nur empfindliche Bußgelder, sondern auch Vertrauensverlust bei Kund:innen, Partner:innen und der Öffentlichkeit.

Verpflichtung zur DSGVO-Konformität

Gemäß Art. 5 Abs. 1 DSGVO müssen personenbezogene Daten rechtmäßig, zweckgebunden, transparent und sicher verarbeitet werden. Bei der Zusammenarbeit mit externen Dienstleistern trägt das verantwortliche Unternehmen weiterhin die datenschutzrechtliche Verantwortung – auch wenn die Verarbeitung ausgelagert wird.
Wichtig ist dabei auch Art. 28 DSGVO, der klar regelt, dass eine Datenverarbeitung im Auftrag nur zulässig ist, wenn:

• ein schriftlicher Auftragsverarbeitungsvertrag (AVV) besteht,
• die Auswahl des Dienstleisters unter datenschutzrechtlichen Kriterien erfolgt,
• und technische sowie organisatorische Maßnahmen (TOMs) zur Sicherheit der Daten nachgewiesen werden können (Art. 32 DSGVO).

Vertrauen als Wettbewerbsfaktor

Neben der rechtlichen Seite ist Compliance auch ein strategisches Thema: Kunden, Investoren und Partner legen zunehmend Wert auf transparente und sichere Datenprozesse. Wer hier mit strukturierten Richtlinien, regelmäßigen Audits und dokumentierten Sicherheitsmaßnahmen überzeugt, schafft Vertrauen – einen entscheidenden Wettbewerbsvorteil im digitalen Zeitalter.

Die rechtlichen Rahmenbedingungen für die Datenweitergabe variieren je nach Region und Branche. In der Europäischen Union ist die Datenschutz-Grundverordnung (DSGVO) das wichtigste Regelwerk, das die Verarbeitung personenbezogener Daten regelt.

Unternehmen müssen sicherstellen, dass sie die Anforderungen der DSGVO erfüllen, einschließlich der Einholung der Einwilligung der betroffenen Personen, der Implementierung geeigneter Sicherheitsmaßnahmen und der Meldung von Datenschutzverletzungen innerhalb von 72 Stunden. Die Nichteinhaltung dieser Vorschriften kann zu hohen Geldstrafen und erheblichen Reputationsschäden führen.

Sie verpflichtet Unternehmen u. a. zur:

• eindeutigen Einwilligung der betroffenen Personen,
• sorgfältigen Auswahl von Auftragsverarbeitern,
• Umsetzung technischer und organisatorischer Maßnahmen (TOMs),
• Dokumentation und Meldepflicht bei Verstößen.

Verstöße können mit bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden – ganz zu schweigen vom Imageschaden.

Wenn es um Datenweitergabe an Drittanbieter geht, denken viele sofort an offensichtliche Risiken wie Hackerangriffe, Datenlecks oder den Verlust sensibler Informationen. Doch die wahren Gefahren liegen oft tiefer – in den Details der Zusammenarbeit, die im Alltag leicht übersehen werden. Genau hier entstehen die größten Schwachstellen für Compliance und Datensicherheit.

1. Unklare oder fehlende Vertragsbedingungen

Viele Unternehmen übermitteln Daten an Dienstleister, ohne einen rechtsgültigen und DSGVO-konformen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abzuschließen – oder sie nutzen veraltete, unklare Vertragsmuster.

Beispiel:
Ein mittelständischer Onlineshop beauftragt eine externe Agentur mit dem Versand von Newslettern. Die Agentur erhält Zugriff auf die komplette Kundendatenbank – aber es existiert kein AVV, der regelt, wie mit diesen Daten umzugehen ist, wer sie verarbeiten darf oder wie lange sie gespeichert werden. Im Fall eines Datenschutzverstoßes haftet das beauftragende Unternehmen, nicht die Agentur.

2. Fehlende Kontrolle über eingesetzte Subunternehmer

Selbst wenn ein Dienstleister vertraglich abgesichert ist, setzen viele Anbieter weitere Subunternehmer (Sub-Processor) ein – etwa Hosting-Anbieter, Payment-Dienstleister oder externe Entwicklerteams. Diese „Kette“ der Datenweitergabe ist häufig nicht vollständig transparent.

Beispiel:
Ein deutsches Unternehmen nutzt einen US-basierten Cloud-Dienst für CRM und Support. Dieser Dienstleister hostet die Daten jedoch wiederum bei einem Drittanbieter in Indien – ohne dass dies im Vertrag offen gelegt oder technisch abgesichert ist. Das Unternehmen verliert dadurch die Kontrolle über den Datenfluss und riskiert Verstöße gegen die DSGVO, insbesondere beim Drittlandtransfer (Art. 44 ff. DSGVO).

3. Unzureichende technische und organisatorische Maßnahmen (TOMs)

Die Sicherheit der Daten steht und fällt mit den implementierten Maßnahmen. Doch nicht alle Drittanbieter setzen ausreichend hohe Standards um – etwa bei Verschlüsselung, Zugriffskontrollen oder der Löschung von Daten nach Vertragsende (Art. 32 DSGVO).

Beispiel:
Eine HR-Software speichert Bewerbungsdaten auf unverschlüsselten Servern. Ein unberechtigter interner Zugriff bleibt zunächst unbemerkt. Da das auftraggebende Unternehmen keine Überprüfung der Sicherheitsmaßnahmen durchgeführt hat, gilt es als mitverantwortlich.

4. Fehlende Kontrolle und Audits

Viele Unternehmen versäumen es, ihre Dienstleister regelmäßig zu überprüfen – sei es durch Audits, Selbstauskünfte oder Zertifikate (z. B. ISO 27001, SOC 2). Ohne klare Kontrollmechanismen bleibt unklar, ob der Dienstleister die vereinbarten Datenschutzstandards tatsächlich einhält.

Beispiel:
Ein Unternehmen lagert die Lohnbuchhaltung aus und verlässt sich auf die Aussage des Dienstleisters, man „arbeite datenschutzkonform“. Eine spätere Prüfung ergibt, dass sensible Mitarbeiterdaten ungeschützt auf lokalen Servern gespeichert wurden – ein klarer Verstoß, der durch fehlende Kontrolle möglich wurde.
 

Die Risiken bei der Zusammenarbeit mit Drittanbietern lassen sich nicht vollständig vermeiden – aber deutlich reduzieren. Entscheidend ist eine strukturierte Vorgehensweise, die rechtliche, technische und organisatorische Maßnahmen kombiniert. Die folgenden Best Practices helfen dabei, Datenweitergaben sicher und DSGVO-konform zu gestalten:

1. Drittanbieter sorgfältig auswählen und prüfen

Vorauswahl nur mit Anbieter:innen, die eine DSGVO-konforme Datenverarbeitung nachweisen können (z. B. durch Zertifikate, ISO 27001, SOC 2, TISAX).

Datenschutz-Checklisten oder Selbstauskünfte zur Risikoeinschätzung vor Vertragsabschluss nutzen.
Anbieter ablehnen, die keine klare Auskunft zu Subprozessoren, Speicherdauer oder Datenfluss geben.

Tipp: Führe vor Beauftragung einen internen „Privacy Due Diligence“-Prozess ein.

2. DSGVO-konforme Verträge abschließen (inkl. AVV)

Immer einen schriftlichen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO abschließen – mit individuellen, nicht nur generischen Regelungen.
Verträge regelmäßig auf Aktualität prüfen (z. B. bei Wechsel von Subdienstleistern).
Verbot von Datenweitergabe an Drittländer ohne zusätzliche Schutzmaßnahmen klar regeln.

Tipp: Verwende eigene AVV-Vorlagen oder prüfe Anbieter-AVVs vor der Unterschrift kritisch.

3. Technische und organisatorische Maßnahmen (TOMs) sicherstellen

Mindeststandards wie Ende-zu-Ende-Verschlüsselung, Zwei-Faktor-Authentifizierung und Rechtemanagement verpflichtend machen.
Datenminimierung: Nur so viele Daten übermitteln, wie unbedingt nötig.
Vorgaben zu Löschfristen, Backups und Zugriffskontrollen in den Vertrag aufnehmen.

Tipp: Verlange eine Auflistung der TOMs im AVV – inkl. regelmäßiger Nachweise oder Auditrechte.

4. Regelmäßige Audits und Monitoring einführen

Drittanbieter jährlich oder anlassbezogen überprüfen: z. B. durch Datenschutzauswertungen, technische Tests oder Zertifikatsprüfungen.
Auf Änderungen im Unternehmensnetzwerk achten (z. B. neue Subprozessoren).
Verstöße oder Sicherheitsvorfälle klar definieren und mit Eskalationsplänen absichern.

Tipp: Definiere in deiner Datenschutzstrategie feste Prüfintervalle und Verantwortlichkeiten.

5. Klare interne Prozesse und Verantwortlichkeiten festlegen

Erstelle ein zentrales Verzeichnis aller Drittanbieter mit AVVs, Zwecken, Löschfristen und Ansprechpersonen.
Lege verbindliche Richtlinien für Datenweitergaben fest – inkl. Prüfpflichten vor Vertragsbeginn.
Definiere Rollen: Wer darf überhaupt Datenweitergaben freigeben? Wer dokumentiert?

Tipp: Nutze ein Datenschutz-Management-Tool zur strukturierten Steuerung.

6. Schulung und Sensibilisierung der Mitarbeitenden

Regelmäßige Schulungen zu Datenschutz, Drittlandrisiken, sicheren Tools und DSGVO-Pflichten.
Konkrete Anwendungsfälle durchspielen (z. B. „Darf ich dieses Tool verwenden?“).
Meldewege für Datenschutzverstöße und Unsicherheiten bekannt machen.

Tipp: Baue Datenschutz in Onboarding-Prozesse und jährliche Pflichttrainings ein.

Technologie kann eine entscheidende Rolle bei der Einhaltung von Compliance spielen. Durch den Einsatz von Datenschutz-Management-Software können Unternehmen ihre Datenverarbeitungsprozesse automatisieren und überwachen, um sicherzustellen, dass alle gesetzlichen Anforderungen erfüllt werden.

Darüber hinaus bieten moderne Verschlüsselungstechnologien und Zugriffsmanagementsysteme zusätzlichen Schutz für sensible Daten und helfen, das Risiko von Datenschutzverletzungen zu minimieren.

Die sichere Datenweitergabe und die Einhaltung von Compliance-Richtlinien sind für den Schutz von Unternehmen und deren Kunden unerlässlich. Durch die Implementierung bewusster Prozesse und den Einsatz geeigneter Technologien können Unternehmen die Kontrolle über ihre Daten zurückgewinnen und die damit verbundenen Risiken minimieren.

Letztendlich trägt eine starke Compliance-Kultur nicht nur zur Einhaltung gesetzlicher Anforderungen bei, sondern stärkt auch das Vertrauen der Kunden und Partner und fördert langfristigen Geschäftserfolg.