Auftragsverarbeiter-Management: Praxisleitfaden fuer SaaS-Teams

Auftragsverarbeiter-Management ist das Betriebssystem dafuer, wer personenbezogene Daten in Ihrem Auftrag verarbeitet, was dieser Anbieter tun darf, welche Vertragsbedingungen gelten, welche Sicherheits- und Datenschutznachweise vorliegen und wie Aenderungen freigegeben werden. Fuer SaaS-Teams betrifft das Hosting, Analyse-Tools, Support-Systeme, Zahlungsanbieter, CRM, E-Mail-Dienste, KI-Dienste, Monitoring und die Unterauftragsverarbeiter dieser Anbieter.

Das Ziel ist keine statische Lieferantenliste fuer die Audit-Saison. Das Ziel ist ein wiederholbarer Ablauf: Ein Team sollte einen Anbieter auswaehlen, die Rolle klaeren, Datenschutzbedingungen pruefen, Unterauftragsverarbeitung genehmigen, Sicherheitsnachweise bewerten, Transfermechanismen dokumentieren und Nachweise aktuell halten koennen.

Nach Artikel 28 DSGVO darf ein Verantwortlicher nur Auftragsverarbeiter einsetzen, die hinreichende Garantien fuer geeignete technische und organisatorische Massnahmen bieten. Die Verarbeitung muss durch Vertrag oder einen anderen bindenden Rechtsakt geregelt sein. Der Auftragsverarbeiter verarbeitet grundsaetzlich nur auf dokumentierte Weisung, stellt Vertraulichkeit sicher, unterstuetzt Sicherheits- und Betroffenenrechtepflichten, regelt Rueckgabe oder Loeschung am Vertragsende und stellt Informationen fuer Nachweise und Audits bereit.

Warum das praktisch wichtig ist

SaaS-Unternehmen verarbeiten Daten selten allein. Selbst ein einfaches Produkt nutzt oft Hosting, Identitaetsmanagement, Observability, Support, Abrechnung, Produktanalyse, Marketing-Automation, Data Warehouse, Incident-Tools und Collaboration-Software. Jede Beziehung kann Kundenvertraege, Datenschutzhinweise, DPAs, Sicherheitsfrageboegen, Aufbewahrungszusagen, Transferpruefungen und Audit-Nachweise beruehren.

Ohne klaren Prozess tauchen Probleme spaet auf. Sales fragt, ob ein Anbieter ein freigegebener Unterauftragsverarbeiter ist. Engineering hat bereits einen Logging-Dienst angebunden. Support will Tickets in ein KI-Zusammenfassungstool exportieren. Dann muss Legal klaeren, ob Vertrag, Datenschutzhinweis, DPA, Transfertext und Kundenzusagen noch zur Realitaet passen.

Wann die Pruefung greift

Auftragsverarbeiter-Management greift, wenn eine andere Partei personenbezogene Daten im Auftrag Ihrer Organisation und nach Ihren Weisungen verarbeitet. Es greift auch, wenn Ihr SaaS-Unternehmen als Auftragsverarbeiter fuer Kundendaten handelt und darunter weitere Auftragsverarbeiter nutzt.

Die Rollenbestimmung richtet sich nach der tatsaechlichen Verarbeitung, nicht nur nach dem Etikett im Vertrag. Die EDPB-Leitlinien betonen, dass entscheidend ist, wer Zwecke und wesentliche Mittel bestimmt. Wenn ein Anbieter Daten fuer eigene Zwecke nutzt, kann separate Verantwortlichkeit statt reiner Auftragsverarbeitung vorliegen.

Typische Beziehungen sind Cloud-Infrastruktur, Support-Plattformen, transaktionale E-Mail, Analyseanbieter, Monitoring, Managed Security Services und Zahlungs- oder Abrechnungstools. Manche Lieferanten verarbeiten keine personenbezogenen Daten, andere handeln als eigenstaendige Verantwortliche. Deshalb sollte der Prozess mit dem allgemeinen Vendor-Risk-Prozess verbunden sein.

Artikel 28 in operative Arbeit uebersetzen

Artikel 28 wird zu einer Checkliste. Der Verantwortliche sollte zeigen koennen, warum der ausgewaehlte Anbieter hinreichende Garantien bietet. Die Pruefung sollte daher Sicherheitsmassnahmen, Datenschutzbedingungen, Unterauftragsverarbeiter, Datenstandorte, Transfergarantien, Unterstuetzung bei Verletzungen, Audit-Informationen sowie Loeschung und Rueckgabe abdecken.

Der DPA sollte Gegenstand und Dauer der Verarbeitung, Art und Zweck, Arten personenbezogener Daten, Kategorien betroffener Personen sowie Pflichten und Rechte des Verantwortlichen nennen. Die Standardvertragsklauseln der Europaeischen Kommission fuer Verantwortliche und Auftragsverarbeiter koennen als strukturierte Referenz dienen.

Auch Auftragsverarbeiter haben aktive Pflichten. Sie muessen dokumentierten Weisungen folgen, Vertraulichkeit sicherstellen, angemessene Sicherheit anwenden, Bedingungen fuer Unterauftragsverarbeiter einhalten, den Verantwortlichen unterstuetzen und Compliance-Informationen bereitstellen.

Ein nutzbares Register aufbauen

Ein gutes Register zeigt nicht nur Lieferanten, sondern die Verarbeitung. Erfassen Sie Anbietername, Produkt, Owner, Zweck, Rollenbewertung, Datenkategorien, betroffene Personen, angebundene Systeme, Hosting-Region, Transfermechanismus, DPA-Status, Unterauftragsverarbeiter, Security-Review, Aufbewahrung, Loeschung, Kundendokumentation, letztes Review und naechsten Trigger.

Dieses Register hilft Sales, Security, Legal, Product, Procurement und Audit-Verantwortlichen. Es verhindert auch Doppelarbeit. Wenn derselbe Anbieter in Support, Produktanalyse und Customer Success erscheint, sieht das Team, ob die urspruengliche Freigabe alle Zwecke abdeckt oder ob eine neue Pruefung noetig ist.

Review vor Go-live verankern

Der Prozess muss vor dem Teilen personenbezogener Daten greifen: vor Aktivierung einer Integration, vor Migration von Kundendaten oder vor produktivem Support durch einen Anbieter. Ein schlankes Intake-Formular reicht oft, wenn es nach Zweck, Daten, betroffenen Gruppen, Unterauftragsverarbeitern, Datenstandort, eigener Nutzung durch den Anbieter, Vertragsnachweisen, Security-Nachweisen und Ausweichoptionen fragt.

Security prueft technische und organisatorische Massnahmen. Legal oder Privacy prueft Rolle, DPA, Weisungen, Transfers und Unterauftragsverarbeiter. Procurement verwaltet Vertrag und Renewal. Product oder Engineering verantwortet Umsetzungsvorgaben. Compliance sorgt dafuer, dass Nachweise auditfaehig abgelegt werden.

Unterauftragsverarbeiter steuern

Wenn Ihr Unternehmen Kundendaten als Auftragsverarbeiter verarbeitet, erwarten Kunden meist eine Unterauftragsverarbeiter-Liste, Benachrichtigungen ueber Aenderungen und Vertragsregeln zu Genehmigung und Widerspruch. Artikel 28 verlangt eine vorherige spezifische oder allgemeine schriftliche Genehmigung des Verantwortlichen.

Operativ brauchen Sie daher eine stabile Liste oder DPA-Anlage, einen Prozess fuer Hinzufuegen und Ersetzen, eine Benachrichtigung, klare Freigabeverantwortliche, Nachweisstandards und Regeln, wie Sales und Customer Success Fragen beantworten.

Nachweise und haeufige Fehler

Ein belastbares Nachweispaket enthaelt DPA oder relevante Bedingungen, Rollenbewertung, Security-Review, Anbieterunterlagen, Unterauftragsverarbeiter-Liste, Transfernachweis, Freigabeticket, Restrisikoentscheidung, Renewal-Datum und Kundendisclosures. Es sollte auch Aenderungen dokumentieren, etwa neue Unterauftragsverarbeiter, Hosting-Regionen, KI-Funktionen oder geaenderte Aufbewahrung.

Haeufige Fehler sind, das Thema nur als Vertragsthema zu behandeln, jeden Anbieter als Auftragsverarbeiter anzusehen, Reviews nie zu wiederholen, die oeffentliche Unterauftragsverarbeiter-Liste vom Vendor-Review zu trennen und keine Eskalation fuer fehlende DPAs, Transferprobleme oder eigene Datennutzung des Anbieters festzulegen.

FAQ

Was sollten Teams ueber Auftragsverarbeiter-Management verstehen?

Es ist ein laufender operativer Ablauf, der Vendor-Auswahl, DPA, Security-Review, Unterauftragsverarbeiter, Transfers, Produktveraenderungen, Kundendisclosures und Audit-Nachweise verbindet.

Warum ist es praktisch wichtig?

SaaS-Teams haengen von Dritten ab. Ohne Review und Dokumentation koennen Kundenzusagen, Datenschutzhinweise, DPAs und Audit-Antworten von der Realitaet abweichen.

Was ist der groesste Fehler?

Der groesste Fehler ist, Auftragsverarbeiter-Management als einmalige juristische Einordnung statt als wiederholbaren Ablauf mit Ownern, Triggern, Nachweisen und Eskalation zu behandeln.

Quellen

• European Union, General Data Protection Regulation.
• European Data Protection Board, Guidelines 07/2020 on the concepts of controller and processor in the GDPR.
• Information Commissioner's Office, Contracts and liabilities between controllers and processors.
• European Commission, Standard contractual clauses for controllers and processors in the EU/EEA.