Wer externe Dienstleister beauftragt, lagert nicht nur Aufgaben aus – sondern auch Verantwortung.
Doch diese Verantwortung bleibt rechtlich beim Unternehmen. Die DSGVO macht das unmissverständlich klar:
Verantwortliche bleiben verantwortlich – auch für das, was Dritte tun.
Die Realität sieht oft anders aus: Auftragsverarbeitungsverträge (AVV nach Art. 28 DSGVO) werden abgenickt, ohne sie wirklich zu prüfen. Technische und organisatorische Maßnahmen (TOM) bleiben jahrelang ungeprüft – ein Defizit, das die Informationssicherheit der gesamten Organisation gefährdet. Subdienstleister tauchen plötzlich auf oder werden ohne Vorankündigung ausgetauscht. Spätestens bei einem Datenschutzvorfall zeigt sich dann:
Die Dokumentation von Unterauftragsverarbeitern fehlt häufig, Risikoeinschätzungen und Kontrollen ebenso.
Das Risiko ist real. Die Aufsichtsbehörden haben ihre Prüfzyklen verschärft und verhängen mittlerweile Bußgelder in Millionenhöhe, wenn Unternehmen ihre Pflicht zur Überwachung von Auftragsverarbeitern vernachlässigen. Aktuelle Präzedenzfälle belegen: Mangelhafte Auswahl- und Kontrollprozesse bei Partnern und Dienstleistern werden als direktes Organisationsversagen gewertet, was die Haftung unmittelbar auf die Führungsebene durchschlagen lässt. Unternehmen, die selbst in einer Lieferkette als Dienstleister stehen, kennen häufig die Anforderungen an Compliance-/und Dokumentationspflichten auch aus vertraglicher Perspektive und entsprechender Verpflichtung, etwa als Zulieferer in der Automobilindustrie (TISAX etc.).
Compliance-Pflichten verschärfen sich dramatisch – mit persönlicher Haftung
Dienstleistermanagement ist längst kein reines Datenschutzthema mehr – im Gegenteil.
Mit NIS-2, dem neuen BSI-Gesetz (BSIG), DORA im Finanzsektor und branchenspezifischen Vorgaben wird Dienstleisterkontrolle zur Informationssicherheits- und Governance-Pflicht.
Technische Risiken für Systeme und Informationen in Lieferketten sind ohnehin ein Bereich, der maßgeblich die InfoSec-Strategie jeder Organisation betrifft: auch Cyberangriffe finden (massiv verstärkt und KI-gestützt!) auf Lieferketten statt.
Das bedeutet konkret:
Geschäftsführerhaftung: NIS-2 und das BSIG verankern die Verantwortung unübertragbar auf Leitungsebene.
Ein „Wegducken“ hinter Fachabteilungen ist rechtlich ausgeschlossen; bei schuldhaften Pflichtverletzungen im Risikomanagement droht die direkte persönliche Haftung der Geschäftsführung.
Organisations- und Überwachungsverschulden:
Die Geschäftsführung haftet bereits dann, wenn sie keine angemessenen Prozesse für die Dienstleistersteuerung etabliert oder deren Einhaltung nicht regelmäßig kontrolliert. Werden durch mangelnde Überwachung Pflichtverstöße ermöglicht, liegt ein vorwurfbares Organisationsdefizit vor.
Schulungs- und Wissenspflicht:
NIS-2 verpflichtet die Geschäftsführung zur eigenen Fortbildung. Nur wer die Risiken versteht, kann seiner Überwachungspflicht gegenüber den Beschäftigten und externen Dienstleistern nachkommen – Unwissenheit schützt explizit nicht vor Haftung.
Audit- und Revisionsrechte:
Die vertragliche Absicherung (Prüfrechte, Meldepflichten) ist keine Option, sondern Voraussetzung, um der gesetzlichen Kontrollpflicht überhaupt nachkommen zu können.
Nachweispflichten: ISO 27001-Zertifizierungen, Penetrationstests, Incident-Response-Prozesse – Dienstleister müssen ihre Sicherheitsstandards dokumentiert nachweisen.
Exkurs zur KI-Verordnung (Art. 4 KI-VO) & KI-Kompetenz:
Ein wichtiges Parallelthema ist die Kompetenzpflicht aus der KI-VO: Die oben dargestellten Haftungsmaßstäbe gelten entsprechend auch für den Einsatz Künstlicher Intelligenz: Die KI-VO verpflichtet Anbieter und Betreiber ausdrücklich, für ein angemessenes Maß an KI-Kompetenz zu sorgen. Die Geschäftsführung muss also sicherstellen, dass die Beschäftigten über das notwendige Wissen verfügen, um KI-Risiken zu erkennen und Systeme sicher zu bedienen. Ein Roll-out ohne ausreichende Schulung begründet auch hier ein haftungsrelevantes Organisationsverschulden.
Was bedeutet das konkret für Ihre Organisation?
Vor der Beauftragung:
Risikoanalyse durchführen, TOM und Zertifikate kritisch prüfen, Subdienstleister bewerten, Verträge auf Haftungsklauseln, Audit-Rechte und Meldepflichten achten.
Während der Zusammenarbeit:
Auditrechte aktiv wahrnehmen, regelmäßig Nachweise einfordern (Zertifikate, Penetrationstests, aktuelle TOM), Sicherheitsevaluierungen alle 12–24 Monate durchführen, Vorfälle gemeinsam auswerten, Dokumentation lückenlos pflegen.
Wenn wir als externe DSB sehen, dass ein AVV veraltet ist oder die TOM nicht aktualisiert weiter gepflegt wurden, weisen wir aktiv darauf hin: Gerade bei IT-Dienstleistern/ Software-Anbietern ist es merkwürdig, wenn die TOM nicht „nach Stand der Technik“ nachgebessert werden, obwohl dort Werbung mit „modernster High-Tech & KI Tools gemacht wird… das kann bei kritischer Betrachtung kaum zusammenpassen. Wenn allerdings der AVV in der Schublade einer Fachabteilung „verschwindet“, nützt auch der prüfende Blick nichts…
Das Problem: Fehlende Strukturen und mangelnde Awareness
Viele Unternehmen haben keinen Überblick über ihre Dienstleisterverträge. Schatten-IT erschwert die Kontrolle. Es fehlen klare Prozesse für Onboarding und Monitoring. Zudem sind die Beschäftigten oft nicht ausreichend geschult, um Risiken frühzeitig zu erkennen. Fachabteilungen, die ohne Dokumentation AV-Verträge mit Dienstleistern schließen, stellen ein nicht zu unterschätzendes Risiko dar – eben auch als Organisations- und Überwachungsverschulden, wie bereits erwähnt.
Die Lösung: Strukturiertes Dienstleistermanagement, Prozesse + Schulungen
Ein modernes Dienstleistermanagement ist kein bürokratischer Selbstzweck. Es schafft Transparenz, reduziert Haftungsrisiken und erfüllt Compliance-Pflichten. Gleichzeitig müssen Geschäftsführung und die Beschäftigten regelmäßig geschult werden – zu Datenschutz, Informationssicherheit und Lieferkettenrisiken.
Unser Fazit:
Dienstleisterkontrolle ist Pflicht und Chefsache. Im Schadensfall haftet, wer seine Sorgfaltspflicht nicht nachweisen kann. Das betrifft nicht nur Bußgelder, sondern auch zivilrechtliche Ansprüche und die persönliche Verantwortung der Geschäftsführung.
Selbst-Check: Wie sicher ist Ihre Dienstleistersteuerung?
Kurzprüfung für die Geschäftsführung und die IT-Leitung
□ Vollständigkeit:
Existiert ein zentrales Verzeichnis aller Dienstleister mit Zugriff auf sensible Daten oder kritische Infrastrukturen?
□ Vertragswesen:
Sind für alle Dienstleister aktuelle Verträge vorhanden, die den Anforderungen der DSGVO und NIS2 entsprechen? Das kann zumeist die Fachabteilung nicht selbst beurteilen.
□ Überwachungstiefe:
Wurden im letzten Jahr die Sicherheitsmaßnahmen (TOM) der wichtigsten Dienstleister aktiv geprüft?
□ Meldewege:
Wissen Ihre Dienstleister genau, wen sie im Falle eines Cyberangriffs innerhalb welcher Frist informieren müssen?
□ Sub-Dienstleister:
Haben Sie einen Überblick darüber, welche Sub-Dienstleister Ihre Partner einsetzen?
□ Schulungsnachweis:
Können Sie nachweisen, dass die Geschäftsführung und die Beschäftigten regelmäßig zu Lieferkettenrisiken geschult wurden?
□ KI-Governance:
Wurde die gemäß Art. 4 KI-VO notwendige Kompetenzschulung für die verantwortlichen Beschäftigten bereits dokumentiert?
Ergebnis:
Haben Sie mehr als zwei Fragen mit „Nein“ oder „Unklar“ beantwortet? Möglicherweise besteht ein akutes Haftungsrisiko durch Organisationsverschulden.
Handeln Sie jetzt. Sprechen Sie uns an.