Orbiq LogoOrbiq
Unterauftragnehmer-Management nach DSGVO Artikel 28: Was Verantwortliche wirklich erwarten
2026-02-23
By Anna Bley

Unterauftragnehmer-Management nach DSGVO Artikel 28: Was Verantwortliche wirklich erwarten

Was erwarten Verantwortliche, DSBs und Einkaufsteams wirklich von Ihrem Unterauftragnehmer-Management? Ein Praxis-Leitfaden über die Mindestanforderungen von DSGVO Art. 28 hinaus — Unterauftragnehmer-Liste, Änderungsbenachrichtigungen, Datenfluss-Transparenz und laufende Sorgfaltsprüfung.

DSGVO
GDPR
Datenschutz
Unterauftragnehmer
Compliance

Unterauftragnehmer-Management nach DSGVO Artikel 28: Was Verantwortliche wirklich erwarten

Die meisten SaaS-Unternehmen haben irgendwo eine Unterauftragnehmer-Liste. In einem PDF, angehängt an den AVV, zuletzt vor sechs Monaten aktualisiert. Technisch ist das nicht falsch. Operativ reicht es nicht. Dieser Artikel erklärt, was Verantwortliche, Datenschutzbeauftragte und Einkaufsteams tatsächlich erwarten, wenn sie bewerten, wie Sie Ihre Unterauftragnehmer managen — und warum die Lücke zwischen „auf dem Papier konform" und „in der Praxis vertrauenswürdig" relevanter ist, als viele denken.

TL;DR

DSGVO Artikel 28 verlangt von Auftragsverarbeitern, vor der Einschaltung von Unterauftragsverarbeitern (auch Subunternehmer genannt) die Genehmigung des Verantwortlichen einzuholen, gleichwertige Datenschutzpflichten aufzuerlegen und für deren Einhaltung zu haften. Die meisten Unternehmen lösen das über eine statische Liste im AVV. Aber Verantwortliche erwarten zunehmend mehr: proaktive Änderungsbenachrichtigungen, transparente Datenflüsse und kontinuierliche Sichtbarkeit in die Unterauftragnehmer-Landschaft. Ein Trust Center macht das operativ — nicht als Compliance-Checkbox, sondern als lebendes System, das Ihre Kunden tatsächlich nutzen können.

Was Artikel 28 tatsächlich verlangt

Beginnen wir mit dem Gesetzestext. Artikel 28 Absatz 2 und 4 etablieren zwei Modelle für die Genehmigung von Unterauftragsverarbeitern:

Vorherige gesonderte Genehmigung — der Verantwortliche genehmigt jeden Unterauftragsverarbeiter einzeln vor der Beauftragung. Das gibt dem Verantwortlichen maximale Kontrolle, ist aber operativ aufwändig für beide Seiten.

Allgemeine schriftliche Genehmigung — der Verantwortliche erteilt eine Pauschal-Genehmigung zur Einschaltung von Unterauftragsverarbeitern, unter zwei Bedingungen: Der Auftragsverarbeiter muss den Verantwortlichen über jede beabsichtigte Hinzufügung oder Ersetzung informieren, und der Verantwortliche muss die Möglichkeit haben, Einspruch zu erheben.

Die meisten B2B-SaaS-Unternehmen arbeiten mit der allgemeinen Genehmigung. Das ist die pragmatische Wahl. Aber „allgemeine Genehmigung" heißt nicht „mach, was du willst" — es heißt „wir vertrauen darauf, dass du das transparent managst, und wir behalten uns das Widerspruchsrecht vor."

Artikel 28 Absatz 4 ergänzt, dass Unterauftragsverarbeiter denselben Datenschutzpflichten unterliegen müssen wie der Auftragsverarbeiter. Wenn Ihr Unterauftragsverarbeiter versagt, haften Sie — nicht der Unterauftragsverarbeiter.

Das ist der rechtliche Rahmen. Diese Pflichten des Auftragsverarbeiters nach DSGVO sind gut dokumentiert. Jetzt kommt die Praxis.

Was Verantwortliche tatsächlich erwarten

Wenn Sie an europäische Enterprise-Kunden verkaufen, wird Ihr Unterauftragnehmer-Management während der Beschaffung bewertet, während der Geschäftsbeziehung überwacht und bei Audits geprüft. Hier ist, worauf Datenschutzbeauftragte und Einkaufsteams achten — jenseits des AVV.

1. Eine aktuelle, öffentliche Unterauftragnehmer-Liste

Klingt banal, ist es auch. Aber „aktuell und zugänglich" bedeutet für einen DSB etwas anderes als für die meisten SaaS-Unternehmen.

Was die meisten Unternehmen tun: Eine Tabelle im AVV oder ein PDF auf einer Rechtsseite, aktualisiert, wenn jemand daran denkt. Manchmal steht die Liste hinter einem Login oder einer NDA-Anfrage.

Was Verantwortliche erwarten: Eine öffentlich zugängliche, klar strukturierte Liste mit Name, Zweck, verarbeiteten Datenkategorien, Hosting-Standort und Sitzland jedes Unterauftragsverarbeiters. Aktualisiert innerhalb von Tagen nach einer Änderung — nicht Monaten.

Der Unterschied ist relevant, weil DSBs Ihre Unterauftragnehmer-Liste nutzen, um ihre eigenen Verzeichnisse von Verarbeitungstätigkeiten (Artikel 30) zu pflegen. Wenn Ihre Liste veraltet ist, stimmen deren Verzeichnisse nicht. Wenn Ihre Liste in einem PDF steckt, müssen sie die Daten manuell extrahieren. Wenn sie hinter einem NDA liegt, müssen sie ihrer Rechtsabteilung erklären, warum sie einen NDA unterschreiben müssen, um zu sehen, wer ihre Daten verarbeitet.

Machen Sie es einfach. Machen Sie es öffentlich. Machen Sie es aktuell.

2. Proaktive Unterauftragnehmer-Änderungsbenachrichtigungen

Artikel 28 Absatz 2 verlangt, dass bei allgemeiner Genehmigung Verantwortliche „über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter informiert" werden, um ihnen „die Möglichkeit zu geben, gegen derartige Änderungen Einspruch zu erheben."

Was die meisten Unternehmen tun: Die Unterauftragnehmer-Liste still aktualisieren. Vielleicht eine E-Mail senden, wenn die Änderung bedeutsam ist. Oft entdeckt der Verantwortliche die Änderung erst bei seiner eigenen jährlichen Lieferantenbewertung.

Was Verantwortliche erwarten: Schriftliche Benachrichtigung vor Inkrafttreten der Änderung, mit genügend Details zur Bewertung der Auswirkungen: Wer ist der neue Unterauftragsverarbeiter, welche Daten wird er verarbeiten, wo befindet er sich, welche Sicherheitsmaßnahmen sind vorhanden, und wie ist der Zeitplan?

Die Vorlaufzeit ist entscheidend. Die meisten AVVs setzen 30 Tage an, manche Enterprise-Kunden verhandeln 60 oder 90 Tage. Was auch immer vereinbart wurde — die operative Frage ist: Haben Sie ein System, das diese Benachrichtigungen zuverlässig versendet, oder hängt es davon ab, dass jemand daran denkt?

3. Substanzielle Widerspruchsrechte

Das Widerspruchsrecht steht in der Verordnung, aber wie es in der Praxis funktioniert, variiert enorm.

Was die meisten Unternehmen tun: Der AVV enthält eine Widerspruchsklausel, aber der praktische Mechanismus bleibt unklar. Kann der Verantwortliche eine Unterauftragnehmer-Änderung tatsächlich blockieren? Was passiert bei Widerspruch — wird rückgängig gemacht? Gibt es Kündigungsrechte?

Was Verantwortliche erwarten: Einen klaren Prozess. Wenn ein Verantwortlicher einem neuen Unterauftragsverarbeiter widerspricht, welche Optionen gibt es? Typischerweise heißt das: Der Auftragsverarbeiter bemüht sich um eine Alternative, und wenn keine machbar ist, kann der Verantwortliche die betroffenen Dienste ohne Strafzahlung kündigen.

Wichtig ist, das zu definieren, bevor jemand es braucht. Enterprise-DSBs prüfen das während der Beschaffung.

4. Datenfluss-Transparenz

Unterauftragnehmer-Management dreht sich nicht nur um das Wer — sondern um welche Daten wohin fließen.

Was die meisten Unternehmen tun: Die Unterauftragnehmer-Liste nennt Firmennamen und beschreibt vielleicht deren Funktion („Cloud-Hosting", „E-Mail-Zustellung", „Analytics").

Was Verantwortliche erwarten: Genügend Detail, um den Datenfluss zu verstehen. Welche Kategorien personenbezogener Daten greift jeder Unterauftragsverarbeiter zu? Werden sie gespeichert oder nur durchgeleitet? In der EU oder international übertragen? Wenn übertragen — auf welcher Rechtsgrundlage (Angemessenheitsbeschluss, Standardvertragsklauseln, Binding Corporate Rules)?

Hier wird die CLOUD-Act-Diskussion praktisch statt theoretisch. Wenn Ihr Unterauftragsverarbeiter ein US-Unternehmen ist, wollen Verantwortliche wissen: Gibt es ein Transfer Impact Assessment? Welche ergänzenden Maßnahmen sind umgesetzt? Einfach „AWS" aufzulisten reicht nicht, wenn der Verantwortliche seine eigene Compliance nach Schrems II dokumentieren muss.

5. Nachweis der Unterauftragnehmer-Sorgfaltsprüfung

Artikel 28 Absatz 1 besagt, dass Verantwortliche nur Auftragsverarbeiter einsetzen sollen, die „hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen durchgeführt werden." Übertragen gilt das auch für Ihre Unterauftragsverarbeiter.

Was die meisten Unternehmen tun: Unterauftragsverarbeiter beim Onboarding bewerten. Vielleicht einmal SOC-2- oder ISO-27001-Status prüfen.

Was Verantwortliche erwarten: Nachweise, dass Sie Unterauftragsverarbeiter kontinuierlich bewerten — nicht nur beim Onboarding, sondern über den gesamten Lebenszyklus. Sind deren Zertifizierungen noch gültig? Gab es Sicherheitsvorfälle? Hat sich deren Datenverarbeitung verändert?

Hier liegt die praktische Last: Laufende Sichtbarkeit in die Unterauftragnehmer-Landschaft aufrechtzuerhalten, ist Arbeit. Die meisten Unternehmen tun es nicht systematisch. Die, die es tun, stechen in Beschaffungsbewertungen hervor.

Wo die meisten Unternehmen Lücken haben

Das Muster ist konsistent: Der AVV ist in Ordnung, die Unterauftragnehmer-Liste existiert, aber die operative Infrastruktur fehlt.

Aktualisierungen sind reaktiv, nicht proaktiv. Jemand fügt dem Produkt einen neuen Unterauftragsverarbeiter hinzu, und sechs Wochen später aktualisiert die Rechtsabteilung die Liste. Zwischenzeitlich haben Verantwortliche fehlerhafte Verzeichnisse.

Benachrichtigungen sind manuell. Es gibt kein System — es ist eine E-Mail von Legal, versendet wenn jemand daran denkt. Bei 200 Enterprise-Kunden sind das 200 individuelle Benachrichtigungen, die mit angemessener Vorlaufzeit versendet werden müssen.

Datenfluss-Dokumentation ist oberflächlich. „Unterauftragsverarbeiter X bietet Analytics" sagt einem DSB nicht, was er wissen muss. Welche Daten? Welche Jurisdiktion? Welcher Übermittlungsmechanismus?

Sorgfaltsprüfung ist punktuell. Sie haben den SOC-2-Bericht des Unterauftragsverarbeiters beim Vertragsschluss geprüft. Das war vor zwei Jahren. Die Zertifizierung könnte abgelaufen sein, das Hosting sich geändert haben, oder es gab einen Sicherheitsvorfall, von dem Sie nichts wissen.

Widerspruchsprozesse sind theoretisch. Der AVV sagt, Verantwortliche können widersprechen, aber es gibt keinen operativen Workflow für die Behandlung von Widersprüchen. Wenn ein Verantwortlicher am Tag 25 einer 30-Tage-Frist widerspricht — was passiert dann?

Nichts davon sind per se Rechtsverstöße. Aber es sind operative Lücken, die Enterprise-Verantwortliche zunehmend identifizieren — und die Beschaffungsentscheidungen beeinflussen.

Wie ein Trust Center das operativ macht

Hier fügt sich das Konzept zusammen: Ein Trust Center verwandelt Unterauftragnehmer-Management von einer juristischen Dokumentationsübung in ein lebendes, operatives System. Für Legal-Teams, die AVVs, NDAs und Unterauftragnehmer-Sorgfaltsprüfungen managen, ist diese Veränderung besonders bedeutsam.

Öffentliche Unterauftragnehmer-Seite im Trust Center

Ihre Unterauftragsverarbeiter sind standardmäßig sichtbar — Name, Zweck, Datenkategorien, Standort und Rechtsgrundlage für Übermittlungen. Kein PDF-Download, kein NDA für Basisinformationen. Verantwortliche können jederzeit prüfen, und ihre Verarbeitungsverzeichnisse bleiben aktuell.

Integrierte Änderungsbenachrichtigungen

Wenn Sie einen Unterauftragsverarbeiter aktualisieren, benachrichtigt das Trust Center betroffene Kunden automatisch. Keine manuelle E-Mail-Liste, keine vergessenen Benachrichtigungen. Die Vorlaufzeit beginnt mit der Benachrichtigung und erzeugt eine klare, auditierbare Zeitlinie.

Datenfluss-Sichtbarkeit

Jeder Unterauftragnehmer-Eintrag kann verarbeitete Datenkategorien, Hosting-Region und Übermittlungsmechanismen enthalten — strukturiert in einer Form, die DSBs direkt für ihre Artikel-30-Verzeichnisse nutzen können. Kein Absatz Rechtstext; eine saubere, parsbare Tabelle.

Kontinuierliche Sorgfaltsprüfungs-Nachweise

Wenn Ihr Trust Center Vendor-Assurance-Funktionen beinhaltet, können Sie die aktuelle Sicherheitslage Ihrer Unterauftragsverarbeiter zeigen — nicht nur deren Status beim Onboarding, sondern laufend. Zertifizierungen, Sicherheitsbewertungen, letztes Prüfungsdatum. Das sind die Nachweise, die Verantwortliche wollen, aber selten bekommen.

Audit-bereite Dokumentation

Wenn ein Auditor oder eine Aufsichtsbehörde nach Ihrem Unterauftragnehmer-Management fragt, lautet die Antwort nicht „lassen Sie mich die Tabelle suchen." Es ist ein Link zu Ihrem Trust Center, wo der aktuelle Stand immer sichtbar, versioniert und mit Zeitstempel versehen ist.

Die praktische Checkliste

Wenn Sie prüfen, wie Ihr Unterauftragnehmer-Management dem standhält, was Enterprise-Verantwortliche tatsächlich erwarten, hier die Liste:

Unterauftragnehmer-Liste:

  • Öffentlich zugänglich (kein NDA für Basisinformationen erforderlich)
  • Enthält Name, Zweck, Datenkategorien, Hosting-Standort, Sitzland
  • Innerhalb von Tagen nach Änderungen aktualisiert, nicht Monaten

Änderungsbenachrichtigungen:

  • Proaktiv, schriftlich, vor Inkrafttreten der Änderungen
  • Mit genügend Detail zur Bewertung der Auswirkungen
  • Versendet mit der vertraglich vereinbarten Vorlaufzeit (typischerweise 30 Tage)
  • Auditierbar: Sie können nachweisen, wann die Benachrichtigung versendet wurde

Widerspruchsprozess:

  • Klar im AVV definiert
  • Operativ unterstützt: Sie wissen, was bei einem Widerspruch passiert
  • Beinhaltet Kündigungsrechte, wenn kein alternativer Unterauftragsverarbeiter verfügbar ist

Datenfluss-Dokumentation:

  • Datenkategorien pro Unterauftragsverarbeiter
  • Hosting-Standort und Jurisdiktion
  • Übermittlungsmechanismus für internationale Transfers
  • Transfer Impact Assessment, wo anwendbar

Laufende Sorgfaltsprüfung:

  • Zertifizierungen der Unterauftragsverarbeiter erfasst und aktuell
  • Sicherheitslage überwacht, nicht nur beim Onboarding bewertet
  • Prozess für den Umgang mit Sicherheitsvorfällen bei Unterauftragsverarbeitern

Häufig gestellte Fragen

Muss ich jeden Unterauftragsverarbeiter öffentlich auflisten?

Nein. Artikel 28 verlangt die Information der Verantwortlichen, nicht der Öffentlichkeit. Aber eine öffentliche Zugänglichkeit der Liste wird von Enterprise-Käufern zunehmend erwartet — sie reduziert Reibung in der Beschaffung und hilft Verantwortlichen, ihre eigenen Compliance-Verzeichnisse zu pflegen. Sensible Details (wie spezifische Sicherheitsmaßnahmen) können geschützt werden, während die Basisliste öffentlich bleibt.

Welche Vorlaufzeit ist richtig für Unterauftragnehmer-Änderungen?

Artikel 28 nennt kein Minimum. Die meisten AVVs setzen 30 Tage an. Enterprise-Kunden verhandeln teilweise 60 oder 90 Tage. Was auch immer Sie vereinbaren — es muss operativ durchsetzbar sein. Das heißt: Sie brauchen ein System, nicht nur eine Klausel.

Was passiert, wenn ein Verantwortlicher einem neuen Unterauftragsverarbeiter widerspricht?

Das hängt von Ihrem AVV ab. Typische Ansätze: Der Auftragsverarbeiter bemüht sich um eine Alternative, und wenn keine machbar ist, kann der Verantwortliche die betroffenen Dienste kündigen. Wichtig ist, das zu definieren, bevor es gebraucht wird.

Muss die Unterauftragnehmer-Liste Datenkategorien enthalten?

Artikel 28 verlangt das nicht explizit, aber Artikel 30 verlangt von Verantwortlichen, Kategorien in ihren Verarbeitungsverzeichnissen zu dokumentieren. Wenn Ihre Liste Kategorien enthält, erleichtern Sie deren Compliance — was Ihre Beschaffungsbewertung reibungsloser macht.

Wie hängt das mit NIS2 zusammen?

NIS2 Artikel 21 Absatz 2 Buchstabe d verlangt Maßnahmen zur Sicherheit der Lieferkette, einschließlich „sicherheitsrelevanter Aspekte der Beziehungen zwischen den einzelnen Einrichtungen und ihren unmittelbaren Anbietern oder Diensteanbietern." Unterauftragnehmer-Transparenz unter der DSGVO und Lieferkettensicherheit unter NIS2 sind konvergierende Anforderungen — beide verlangen laufende Sichtbarkeit in Ihre Drittanbieter-Abhängigkeiten. Ein Trust Center, das Unterauftragnehmer-Management abdeckt, adressiert gleichzeitig einen wesentlichen Teil der NIS2-Lieferkettenpflichten.

Die wichtigsten Erkenntnisse

  1. Artikel 28 setzt den Boden, nicht die Decke — Enterprise-Verantwortliche erwarten deutlich mehr als Mindest-Compliance
  2. Statische Unterauftragnehmer-Listen erzeugen operative Lücken — Aktualisierungen, Benachrichtigungen und Sorgfaltsprüfung müssen systematisch sein, nicht ad hoc
  3. Proaktive Änderungsbenachrichtigungen sind Grundvoraussetzung — Verantwortliche sollten Unterauftragnehmer-Änderungen nicht bei ihrer Jahresprüfung entdecken
  4. Datenfluss-Transparenz zählt mehr als ein Firmenname — DSBs brauchen Kategorien, Jurisdiktionen und Übermittlungsmechanismen
  5. Ein Trust Center macht Unterauftragnehmer-Management zu einem lebenden System — öffentlich, aktuell, auditierbar und nützlich für die Compliance Ihrer Kunden

So löst Orbiq das

Orbiqs Trust Center enthält eine strukturierte Unterauftragnehmer-Seite — standardmäßig öffentlich, mit Änderungsbenachrichtigungen, Datenfluss-Details und audit-bereiter Dokumentation. Kein PDF, kein NDA für Basisinformationen.

→ Unser Trust Center ansehen (sehen Sie unsere eigene Unterauftragnehmer-Liste in Aktion)

→ Preise ansehen

→ Kostenlos starten

Quellen

  1. Verordnung (EU) 2016/679 (DSGVO) – Artikel 28 (Auftragsverarbeiter) – Offizieller Text von Artikel 28, einschließlich der Anforderungen an Unterauftragsverarbeiter.
  2. EDSA-Leitlinien 07/2020 zu den Begriffen „Verantwortlicher" und „Auftragsverarbeiter" – Version 2.1, Juli 2021. Detaillierte Leitlinien zu Verantwortlichen-Auftragsverarbeiter-Beziehungen.
  3. DSGVO Artikel 30 – Verzeichnis von Verarbeitungstätigkeiten – Anforderungen an Verantwortliche und Auftragsverarbeiter zur Führung von Verarbeitungsverzeichnissen.
  4. EuGH – Schrems II (Rechtssache C-311/18) – Urteil zu internationalen Datentransfers, relevant für Unterauftragnehmer-Transfer-Bewertungen.
  5. EDSA-Empfehlungen 01/2020 zu ergänzenden Maßnahmen – Leitlinien zu Transfer Impact Assessments und ergänzenden Maßnahmen.

Weiterführende Lektüre