Direkt zum Artikeltext springen

Inhalt in Kürze

  • Wer den IT-Betrieb auslagert, bleibt datenschutzrechtlich Verantwortlicher – der Dienstleister ist nur Auftragsverarbeiter.
  • Ein AVV nach Art. 28 DSGVO ist Pflicht, sobald der Dienstleister auf personenbezogene Daten zugreifen kann.
  • Ein guter Managed-IT-Dienstleister weist Hosting in Deutschland, dokumentierte TOM und revisionssicheren Zugriff nach.
  • Auslagern lässt sich die Technik – die Kontrolle, Weisung und Verantwortung bleiben in Ihrer Hand.

Sie geben Server, E-Mail und Backup an einen externen Dienstleister – und denken, damit sei auch der Datenschutz erledigt. Das Gegenteil ist der Fall. Rechtlich bleiben Sie in der vollen Verantwortung, technisch aber im Blindflug. Dieser Widerspruch lässt sich sauber auflösen.

IT-Betrieb auslagern: Der Datenschutz bleibt Ihre Verantwortung

Auslagern heißt nicht abgeben. Sobald ein Dienstleister Ihre IT betreibt und dabei auf personenbezogene Daten Ihrer Kunden, Mitarbeiter oder Bewerber zugreifen kann, bleiben Sie der Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO. Der Dienstleister wird zum Auftragsverarbeiter – er handelt auf Ihre Weisung, entscheidet aber nicht selbst über Zweck und Mittel.

Das Risiko ist real: Laut der Bitkom-Studie Wirtschaftsschutz 2025 waren 87 Prozent der Unternehmen in den vergangenen zwölf Monaten von Datendiebstahl, Spionage oder Sabotage betroffen. Der Gesamtschaden für die deutsche Wirtschaft: 289,2 Milliarden Euro. Viele dieser Vorfälle beginnen dort, wo Zugriffe von Dienstleistern schlecht geregelt sind.

87 %
Unternehmen betroffen (Bitkom 2025)
289 Mrd €
Schaden dt. Wirtschaft / Jahr
10 Mio €
Bußgeldrahmen ohne AVV

Auftragsverarbeitung oder gemeinsame Verantwortlichkeit?

Bevor Sie einen Vertrag aufsetzen, klären Sie die Rollenverteilung. Sie entscheidet über die richtigen Pflichten.

Auftragsverarbeitung ist: Ein Dienstleister verarbeitet Daten ausschließlich weisungsgebunden für Sie, ohne eigenen Entscheidungsspielraum über Zweck und Mittel. Das trifft auf den klassischen IT-Betrieb, Hosting, Fernwartung oder Backup zu.

Entscheidend ist die tatsächliche Zusammenarbeit, nicht die vertragliche Überschrift. Eine gute Faustregel des Landesbeauftragten für Datenschutz Baden-Württemberg: Lässt sich der Dienstleister problemlos austauschen, spricht das für Auftragsverarbeitung. Bestimmt er die Zwecke mit, liegt eine gemeinsame Verantwortlichkeit nach Art. 26 DSGVO vor – dann brauchen Sie keinen AVV, sondern eine andere Vereinbarung.

Tipp:

Für den reinen IT-Betrieb ist fast immer die Auftragsverarbeitung die richtige Konstruktion. Halten Sie sie in Ihrem Verzeichnis von Verarbeitungstätigkeiten fest – die Aufsichtsbehörde fragt im Ernstfall danach.

Der AVV nach Art. 28 DSGVO: Diese Pflichtinhalte gehören hinein

Ein Auftragsverarbeitungsvertrag (AVV) ist der schriftliche Rahmen für die Zusammenarbeit. Art. 28 Abs. 3 DSGVO schreibt zehn Mindestinhalte vor. Fehlt der Vertrag oder ist er lückenhaft, ist das ein eigenständiger Verstoß – mit einem Bußgeldrahmen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes (Art. 83 Abs. 4 DSGVO).

  • Gegenstand, Dauer, Art und Zweck. Welche Daten werden zu welchem Zweck wie lange verarbeitet?
  • Weisungsbindung. Der Dienstleister verarbeitet Daten nur auf Ihre dokumentierte Weisung.
  • TOM als Anlage. Technische und organisatorische Maßnahmen nach Art. 32 – Verschlüsselung, Zugriffskontrolle, Backup – gehören konkret und prüfbar in die Anlage, nicht als Floskel.
  • Subunternehmer-Regelung. Setzt der Dienstleister weitere Sub-Auftragnehmer ein (etwa einen Cloud-Anbieter), muss das genehmigt und vertraglich weitergereicht sein.
  • Serverstandort und Drittland. Wo liegen die Daten? Ein Transfer außerhalb der EU braucht zusätzliche Garantien.
  • Löschung oder Rückgabe. Was passiert mit den Daten nach Vertragsende – und wie wird es nachgewiesen?
  • Kontroll- und Nachweisrechte. Sie dürfen die Einhaltung prüfen, der Dienstleister muss Nachweise liefern.

Die TOM-Anlage ist erfahrungsgemäß die Schwachstelle. Ein pauschales „Wir setzen marktübliche Sicherheitsmaßnahmen ein” reicht nicht. Details und eine Vorlage finden Sie in unserem Leitfaden zum AVV mit Praxistipps.

Achtung Drittlandtransfer:

Nutzt Ihr Dienstleister im Hintergrund einen US-Cloud-Anbieter, verlassen Ihre Daten womöglich die EU – auch wenn der Vertragspartner in Deutschland sitzt. Fragen Sie explizit nach dem tatsächlichen Speicherort und den Sub-Auftragnehmern. Verschlüsselung ist hier ein wichtiger Baustein, ersetzt die Prüfung aber nicht.

Woran Sie einen datenschutzkonformen Managed-IT-Dienstleister erkennen

Bei Firmen ohne eigenes IT-Team übernimmt die technische Umsetzung ein Managed-IT-Dienstleister, der den IT-Betrieb als Managed Service bereitstellt – etwa das Hamburger Systemhaus hagel IT mit Hosting in Deutschland. Solche Anbieter gibt es viele; entscheidend ist, dass der Datenschutz nachweisbar mitgedacht wird. Prüfen Sie vor der Beauftragung:

  • Hosting in Deutschland oder der EU. Ein deutscher Serverstandort erspart Ihnen die aufwendige Drittland-Risikoprüfung.
  • Fertiger, geprüfter AVV. Ein seriöser Dienstleister legt den AVV mit dokumentierten TOM von sich aus vor – Sie müssen nicht darum betteln.
  • Revisionssicherer Zugriff. Wer wann auf welche Daten zugegriffen hat, muss protokolliert und nachvollziehbar sein – besonders bei Fernwartung.
  • Least-Privilege-Prinzip. Techniker bekommen nur die Rechte, die sie für ihre Aufgabe brauchen, nicht pauschal Administratorzugriff.
  • Transparente Sub-Auftragnehmer. Eine aktuelle Liste aller eingesetzten Dienstleister und Cloud-Anbieter auf Nachfrage.
Aus der Praxis:

In der Beratung sehen wir immer wieder denselben Fall: Der IT-Betrieb läuft seit Jahren stabil über einen externen Dienstleister – aber einen AVV hat nie jemand unterschrieben. Solange nichts passiert, fällt das keinem auf. Kommt es zu einer Datenpanne oder fragt ein Kunde nach den Auftragsverarbeitern, steht das Unternehmen ohne Papier da. Der AVV kostet einen Nachmittag. Sein Fehlen kann im Schadenfall existenzbedrohend werden.

Was Sie auslagern dürfen – und was in Ihrer Hand bleibt

Auslagern lässt sich fast die gesamte Technik: Serverbetrieb, Netzwerk, E-Mail, Backup, Monitoring, Patch-Management und der First-Level-Support. Genau dafür ist ein Managed-IT-Dienstleister da, und er macht es meist sicherer, als ein KMU es intern könnte.

Nicht delegieren lässt sich die Verantwortung. In Ihrer Hand bleiben:

  1. Auswahl und Kontrolle: Sie müssen den Dienstleister sorgfältig aussuchen und seine Zusicherungen überprüfen – nicht blind vertrauen.
  2. Weisung und Zweckbestimmung: Was mit den Daten geschieht, entscheiden Sie, nicht der Dienstleister.
  3. Rechenschaft gegenüber Behörde und Betroffenen: Bei einer Datenpanne melden Sie – nicht Ihr Dienstleister für Sie.
Das Wichtigste: Der IT-Betrieb wandert zum Dienstleister, die datenschutzrechtliche Verantwortung bleibt bei Ihnen. Ein sauberer AVV mit prüfbarer TOM-Anlage und ein Anbieter mit DE-Hosting und revisionssicherem Zugriff sind die drei Bausteine, die aus einer Auslagerung eine rechtssichere Auslagerung machen.

Wer das solide aufsetzt, senkt nebenbei auch sein Risiko – und erfüllt Anforderungen, die zunehmend auch die Cyberversicherung für eine bezahlbare Police verlangt.

Ihr nächster Schritt

IT-Auslagerung datenschutzkonform aufsetzen

Wir prüfen Ihren bestehenden Dienstleistervertrag auf AVV-Lücken und sagen Ihnen konkret, was fehlt. Als Datenschutz- und IT-Sicherheitsberater begleiten wir die Übergabe an einen Managed-IT-Dienstleister – von der Rollenklärung bis zur TOM-Anlage. Einen Überblick über unsere Leistungen finden Sie hier.

Kostenloses Erstgespräch (15 Min) →

Häufige Fragen (FAQ)

Bleibe ich datenschutzrechtlich verantwortlich, wenn ich den IT-Betrieb auslagere?

Ja. Sie bleiben als Verantwortlicher nach Art. 4 Nr. 7 DSGVO in der Pflicht, auch wenn ein externer Dienstleister Ihre Systeme betreibt. Der Dienstleister handelt weisungsgebunden als Auftragsverarbeiter – die Rechenschaftspflicht bleibt bei Ihnen.

Brauche ich einen AVV mit meinem IT-Dienstleister?

Ja, sobald der Dienstleister auf personenbezogene Daten zugreifen kann – und sei es nur bei Fernwartung oder im Backup. Art. 28 Abs. 3 DSGVO schreibt einen Auftragsverarbeitungsvertrag zwingend vor. Fehlt er, drohen Bußgelder von bis zu 10 Millionen Euro.

Was muss ein AVV nach Art. 28 DSGVO enthalten?

Gegenstand und Dauer, Art und Zweck der Verarbeitung, die Weisungsbindung, technische und organisatorische Maßnahmen als Anlage, die Regelung zu Subunternehmern sowie Löschung oder Rückgabe der Daten nach Vertragsende. Insgesamt nennt Art. 28 Abs. 3 zehn Pflichtpunkte.

Muss der Server in Deutschland oder der EU stehen?

Zwingend EU ist es nicht, aber ein Transfer in Drittländer wie die USA erfordert zusätzliche Garantien und eine Risikoprüfung. Hosting in Deutschland oder der EU vermeidet diesen Aufwand und ist für die meisten KMU der pragmatischste Weg.

Was darf ich beim IT-Betrieb nicht auslagern?

Die Verantwortung selbst. Die Auswahl und Kontrolle des Dienstleisters, das Weisungsrecht und die Entscheidung über Zwecke und Mittel der Verarbeitung bleiben bei Ihnen. Technik lässt sich delegieren, die datenschutzrechtliche Rechenschaft nicht.

Artikel teilen

Weiterlesen

Ähnliche Artikel

Jens Hagel

Jens Hagel

Mitgründer & IT-Unternehmer

Jens führt seit Dezember 2004 die hagel IT-Services GmbH in Hamburg, heute 35+ Mitarbeitende. Mitgründer von frag.hugo Informationssicherheit und der SYNAPSE KI-Agentur. Mehrfach als „Deutschlands beste IT-Dienstleister" (statista / brand eins) ausgezeichnet.

21 Jahre IT-Unternehmer statista / brand eins Award Microsoft Partner WatchGuard Gold
Nächster Schritt

Haben Sie Fragen?

Vier Klicks zum schriftlichen Festpreis-Angebot — oder direkt anrufen. Wir hören zu, sortieren Ihr Thema und sagen Ihnen ehrlich, ob wir helfen können.

Lieber erstmal schreiben? Kontaktformular