Datenschutz Management

Third-Party Risk Management: Strategien und Tools zur Minimierung externer Risiken

Elisa Drescher28.10.2025

Datenschutz endet nicht an der Unternehmensgrenze: Warum das Third Party Risk Management und der Auftragsverarbeitungsvertrag dein wichtigster Schutz vor Datenpannen und Bußgeldern ist

Inhalt
  1. Was ist Third Party Risk Management (TPRM)?
  2. Warum TPRM so entscheidend ist
  3. Die größten Herausforderungen im Third Party Risk Management
  4. Welche Risiken entstehen durch Drittanbieter?
  5. Auftragsverarbeitung – was bedeutet das konkret?
  6. Der Prozess: Wie ich Third Party Risk Management konkret umsetze
  7. Tools, die mich beim Third Party Risk Management unterstützen
  8. Best Practices: Meine Empfehlungen aus der Praxis
  9. Kontrolle ist keine Option, sie ist Pflicht
Das Wichtigste in Kürze
  • Unternehmen tragen die Rechenschaftspflicht nach DSGVO auch für Daten, die von externen Dienstleistern (Third Parties) verarbeitet werden.
  • Third Party Risk Management (TPRM) ist ein Frühwarnsystem, um Schwachstellen und Datenschutzverstöße in der Lieferkette frühzeitig zu erkennen.
  • Der Auftragsverarbeitungsvertrag (AVV) ist gesetzlich notwendig, um Haftung und Sicherheitsmaßnahmen mit dem Dienstleister klar zu regeln.
  • Die größten TPRM-Herausforderungen sind fehlende Transparenz über Subdienstleister und das mangelnde, kontinuierliche Monitoring.
  • Das Auditrecht nach Art. 28 DSGVO ist ein verbindlicher Bestandteil des TPRM, um die Einhaltung der Sicherheitsstandards zu überprüfen.
 
 

Vor einiger Zeit sprach ich mit einem mittelständischen Unternehmen. Alles lief gut bis ein externer IT-Dienstleister eine Cloud-Sicherheitslücke übersehen hatte. Innerhalb weniger Stunden wurden Kundendaten abgegriffen: Namen, IBANs, Geburtsdaten. Das Unternehmen musste eine Datenschutzverletzung an die Aufsichtsbehörde melden, die Betroffenen informieren und sich schließlich in der Presse erklären. Der Auslöser? Eine fehlende Risikoanalyse und ein mangelhafter Vertrag mit dem Dienstleister.

Diese Erfahrung hat mir einmal mehr gezeigt: Datenschutz endet nicht mehr an der Unternehmensgrenze. Ein jedes Unternehmen arbeitet mit externen Dienstleistern zusammen. Sei es klassisch durch Dienstleister oder auch Saas-Produkte. Aus diesem Grund ist ein durchdachtes Third Party Risk Management (TPRM) unverzichtbar, nicht nur, um gesetzlichen Anforderungen wie der Datenschutz-Grundverordnung (DSGVO) gerecht zu werden, sondern um Vertrauen, Kontrolle und Sicherheit zu gewährleisten.

         Lesetipp          
        

Lesetipp: Wichtiger als du denkst: Das A und O für dein Business ist gutes Risikomanagement.

    

Was ist Third Party Risk Management (TPRM)?

Third Party Risk Management beschreibt den Prozess, mit dem Unternehmen Risiken erkennen, bewerten und kontrollierbar machen, die durch Drittanbieter entstehen – also durch externe Partner, die für ihr Unternehmen Dienstleistungen erbringen oder Zugriff auf ihre Daten haben.

Das können beispielsweise sein:

  • Cloud- oder Hostinganbieter (z. B. AWS, Azure, IONOS)
  • Marketing-Tools (z. B. Newsletter-Systeme, Tracking-Software)
  • Personalverwaltungsdienste
  • Externe IT-Support- oder Sicherheitsfirmen
  • Softwareanbieter, die SaaS- oder API-Dienste bereitstellen

Warum ist das wichtig?

Unternehmen tragen nach Art. 5 Abs. 2 DSGVO eine Rechenschaftspflicht. Das heißt: Unternehmen müssen jederzeit nachweisen können, dass personenbezogene Daten rechtmäßig verarbeitet werden, auch dann, wenn sie außerhalb der eigenen Unternehmens-Infrastruktur verarbeitet werden.

Mit anderen Worten: Ich bleibe verantwortlich, auch wenn andere die Arbeit machen.

Warum TPRM so entscheidend ist

Viele Unternehmen haben kein vollständiges Bild darüber, welche Drittanbieter Zugriff auf ihre Systeme oder Daten haben. Oft werden Tools „schnell eingebunden“, um Projekte zu beschleunigen. Genau hier liegt das Risiko: Wenn ein Dienstleister nicht sicher oder nicht DSGVO-konform arbeitet, betrifft das das Unternehmen.

Das Third Party Risk Management (TPRM) ist deshalb wie ein Frühwarnsystem. Es hilft:

  • Schwachstellen in der Lieferkette frühzeitig zu erkennen,
  • Datenschutzverstöße zu vermeiden,
  • Verträge rechtssicher zu gestalten,
  • regulatorische Anforderungen zu erfüllen.

Darüber hinaus schützt TPRM vor wirtschaftlichen Folgen: Bußgelder, Reputationsverluste, Kundenabwanderung und der enorme Aufwand nach Datenschutzverletzungen.

Die größten Herausforderungen im Third Party Risk Management

Ich habe in der Praxis immer wieder gesehen, wo Unternehmen beim TPRM scheitern. 

Die häufigsten Stolpersteine sind:

  1. Unklare Verantwortlichkeiten
    Datenschutz, IT und Einkauf arbeiten oft nebeneinanderher. Niemand fühlt sich wirklich zuständig für das Thema Drittanbieter-Risiken.
  2. Fehlende Transparenz
    In vielen Organisationen existiert kein zentrales Verzeichnis über eingesetzte Dienstleister, besonders nicht über Subdienstleister, die häufig im Hintergrund Daten verarbeiten.
  3. Fehlende oder oberflächliche Risikoanalysen
    Viele bewerten ihre Dienstleister nicht systematisch. Dabei ist eine Risikoklassifizierung (hoch, mittel, niedrig) entscheidend, um Ressourcen gezielt einzusetzen.
  4. Veraltete oder fehlende Verträge
    Ohne aktuelle Auftragsverarbeitungsverträge (AVV) sind Haftung, Zuständigkeiten und Sicherheitsmaßnahmen unklar.
  5. Kein kontinuierliches Monitoring
    Einmal geprüft, dann vergessen. So funktioniert kein TRPM. TPRM ist ein laufender Prozess, kein einmaliges Audit.
  6. Mangelnde Sensibilisierung
    Mitarbeitende erkennen oft gar nicht, dass sie durch den Einkauf oder Einsatz neuer Tools Datenschutzrisiken schaffen.

Ich bin überzeugt: TPRM scheitert selten an der Komplexität, sondern am fehlenden Bewusstsein, dass es Teil der unternehmerischen Verantwortung ist.

Welche Risiken entstehen durch Drittanbieter?

Sobald ein Dienstleister personenbezogene Daten verarbeitet, überträgt sich ein Teil des Risikos auf ihn, aber die Verantwortung bleibt bei mir.

Zu den häufigsten Risiken zählen:

  • Datenabfluss: Unverschlüsselte Datenübertragungen oder schlecht gesicherte Systeme führen zu Datenschutzverletzungen.
  • Cyberangriffe: Angriffe über Lieferketten („Supply Chain Attacks“) nutzen Schwachstellen bei Partnern, um mein Unternehmen zu kompromittieren.
  • Fehlende Meldeketten: Wird eine Datenschutzverletzung nicht rechtzeitig erkannt oder gemeldet, kann das Bußgelder nach sich ziehen (Art. 33, 34 DSGVO).
  • Unklare Vertragsverhältnisse: Wenn nicht geregelt ist, wer welche Pflichten übernimmt, bleiben Sicherheitslücken oder Compliance-Verstöße unentdeckt.
  • Reputationsschäden: Datenschutzverstöße eines Dienstleisters wirken immer auf mich zurück.

Auftragsverarbeitung – was bedeutet das konkret?

Der Begriff Auftragsverarbeitung stammt aus Art. 4 Nr. 8 und Art. 28 DSGVO.
Er bezeichnet Situationen, in denen ein Dienstleister personenbezogene Daten im Auftrag eines anderen Unternehmens verarbeitet.

Beispiel:
Ich nutze einen externen Cloud-Dienst, um Kundendaten zu speichern. Der Cloud-Anbieter verarbeitet diese Daten nur auf meine Weisung. Er ist also als ein Auftragsverarbeiter zu bewerten. Ich selbst bleibe Verantwortlicher im Sinne der DSGVO, da ich über Zweck und Mittel der Verarbeitung entscheide. Die DSGVO verlangt, dass diese Zusammenarbeit vertraglich geregelt wird. Konkret heißt dieser Vertrag: Vertrag zur Auftragsverarbeitung, oft auch Auftragsverarbeitungsvertrag oder einfach kurz AVV genannt. Dieser Vertrag ist übrigens keine bloße Formalität, sondern gesetzliches notwendig, sobald eine Auftragsverarbeitungskonstellation vorliegt.

Warum Auftragsverarbeitungsverträge unverzichtbar sind

Ich erlebe immer wieder, dass AVVs stiefmütterlich behandelt werden. Frei nach dem Motto: „Das machen wir später.“ Das ist gefährlich. Denn ohne AVV verstößt jede Datenverarbeitung durch einen Dienstleister gegen die DSGVO.

Der Vertrag legt fest:

  • welche Daten verarbeitet werden dürfen,
  • zu welchem Zweck,
  • welche technischen und organisatorischen Maßnahmen (TOMs) gelten,
  • wie mit Datenpannen umzugehen ist,
  • und wann Daten gelöscht oder zurückgegeben werden müssen.

Er schafft also Rechtsklarheit, Transparenz und Verantwortlichkeit.

Nach den Leitlinien des Europäischen Datenschutzausschusses (EDSA) ist ein Unternehmen verpflichtet, nur mit Auftragsverarbeitern zusammenzuarbeiten, die ausreichende Garantien für Datenschutz und Sicherheit bieten. Fehlt ein solcher Vertrag, ist das nicht nur ein Compliance-Verstoß.

Sub-Auftragsverarbeiter: Das oft übersehene Risiko

Besonders kritisch und komplex wird es, wenn Sub-Auftragsverarbeiter ins Spiel kommen, also wenn mein Dienstleister wiederum externe Partner einsetzt.

Beispiel:

Ich beauftrage eine Cloud-Plattform, die wiederum ein Rechenzentrum in Irland nutzt. Dieses Rechenzentrum ist als sog. Sub-Auftragsverarbeiter zu qualifizieren.

Nach Art. 28 Abs. 2 DSGVO darf mein Dienstleister Subunternehmer nur mit meiner vorherigen Zustimmung einsetzen.

Ich muss also:

  • über alle Subdienstleister informiert werden,
  • prüfen, ob diese dieselben Datenschutzstandards einhalten,
  • und ggf. ein eigenes Auditrecht ausüben.

Fehlt diese Kontrolle, verliere ich die Übersicht über meine Datenkette und damit über meine Compliance. Gerade bei internationalen Cloud-Diensten ist das ein erheblicher Risikofaktor.

Das Auditrecht nach Art. 28 DSGVO – Kontrolle ist Pflicht

Art. 28 Abs. 3 lit. h DSGVO verpflichtet Auftragsverarbeiter, dem Verantwortlichen alle Informationen bereitzustellen, die zur Kontrolle der Einhaltung der DSGVO erforderlich sind.

Das bedeutet: Ich habe das Recht, meine Dienstleister zu auditieren.

Ein Audit kann in verschiedenen Formen erfolgen:

  • Vor-Ort-Prüfungen, bei denen technische und organisatorische Maßnahmen überprüft werden,
  • Fragebögen oder Dokumentationsprüfungen, die regelmäßig ausgefüllt werden,
  • Zertifikate oder Prüfberichte (z. B. ISO 27001, SOC 2), die als Nachweis dienen.

Wichtig ist: Ich darf mich nicht blind auf diese Nachweise verlassen. Ich prüfe, ob sie aktuell, vollständig und auf meine Datenverarbeitung anwendbar sind. Auch Sub-Auftragsverarbeiter müssen diesem Prüfrecht unterliegen. Das bedeutet, mein Dienstleister muss vertraglich sicherstellen, dass ich indirekt auch seine Partner prüfen darf oder dass diese Prüfungen in meinem Auftrag durchgeführt werden.

Wichtig ist: Das Auditrecht ist kein Misstrauensbeweis, sondern ein verbindlicher Bestandteil des TPRM und für die Rechenschaftspflicht nach der DSGVO. Denn nur so kann ich nachweisen, dass ich meine Pflichten als Verantwortlicher ernst nehme.

Der Prozess: Wie ich Third Party Risk Management konkret umsetze

Ich arbeite im TPRM nach einem klaren Ablauf, der sich bewährt hat:

  • 1. Identifikation
    Ich erfasse alle Dienstleister, die Zugriff auf personenbezogene oder sensible Daten haben inklusive Subunternehmer.
  • 2. Klassifizierung
    Ich teile Dienstleister nach Risiko ein:
    • Hohes Risiko: Cloud- oder Zahlungsanbieter
    • Mittleres Risiko: IT-Support, Hosting
    • Niedriges Risiko: externe Agenturen ohne Dateneinsicht
  • 3. Risikobewertung
    • Ich prüfe Datenschutzmaßnahmen, Zertifikate, Sicherheitsrichtlinien, Verschlüsselung, Zugangskontrollen und Löschkonzepte.
  • 4. Vertragliche Regelung
    • Ich schließe für jeden Auftragsverarbeiter einen DSGVO-konformen AVV ab inklusive Audit- und Kontrollrechten.
  • 5. Monitoring und Audits
    • Ich überprüfe regelmäßig die Einhaltung entweder durch eigene Audits oder durch die Vorlage von Nachweisen.
  • 6. Exit-Management
    • Ich regle, wie Daten am Vertragsende gelöscht oder sicher übertragen werden und dokumentiere das Ergebnis im Verarbeitungsverzeichnis.

Tools, die mich beim Third Party Risk Management unterstützen

Ohne technische Unterstützung wäre das kaum machbar. Ich nutze spezialisierte Tools, um Prozesse zu automatisieren von der Risikoanalyse bis zur Dokumentation.

Diese Tools helfen mir generell dabei, folgende Ziele zu erreichen:

  • Dienstleister zu katalogisieren und Risiken automatisch zu bewerten,
  • Fragebögen und Audits digital zu verwalten,
  • Nachweise zentral abzulegen und
  • Berichte für Datenschutzprüfungen oder Audits zu erstellen.

So wird TPRM nicht zur Papierflut, sondern zu einem strategischen Steuerungsinstrument.

Empfehlenswerte Datenschutz Management Software

Auf unserer Vergleichsplattform OMR Reviews findest du weitere empfehlenswerte Datenschutz-Software. Wir präsentieren mehr als 40 Tool, die den Schutz von persönlichen Daten für eine digitale Privatsphäre gewährleisten. Datenschutzmanagement-Software bietet umfassende Unterstützung in allen Aspekten des Datenschutzmanagements. Nutze diese Gelegenheit, um die verschiedenen Softwarelösungen zu vergleichen und dabei auf authentische und verifizierte Nutzerbewertungen zurückzugreifen:

Best Practices: Meine Empfehlungen aus der Praxis

Ich habe gelernt, dass TPRM nur funktioniert, wenn es Teil der Unternehmenskultur wird.

Hier sind meine wichtigsten Best Practices:

  1. Datenschutzbeauftragte frühzeitig einbeziehen
    Die Datenschutzbeauftragte sollte nicht erst beim Audit auftauchen, sondern schon bei der Dienstleisterauswahl mit am Tisch sitzen und Input abgeben können.
  2. Mitarbeiterschulungen durchführen
    Wer im Einkauf oder in der IT arbeitet, muss wissen, welche Datenschutzpflichten bestehen und wann ein AVV notwendig ist.
  3. Standardisierte Prozesse etablieren
    Ich arbeite mit klaren Vorlagen für Risikoanalysen, Vertragsprüfungen und Audits, das spart Zeit und schafft Vergleichbarkeit.
  4. Transparenz schaffen
    Ich führe ein zentrales Register aller Auftragsverarbeiter, inklusive Verträge, Risiko-Level und Auditstatus.
  5. Auditzyklen festlegen
    Kritische Dienstleister prüfe ich im Auftrag meiner Kunden und in meiner Funktion als Datenschutzbeauftragte jährlich, weniger riskante alle zwei bis drei Jahre oder bei wesentlichen Änderungen.
  6. Notfallpläne definieren
    Für den Fall einer Datenschutzverletzung gibt es klare Abläufe: Meldung, Bewertung, Kommunikation.

Kontrolle ist keine Option, sie ist Pflicht

Für mich steht fest: Third Party Risk Management ist nicht nur ein Compliance-Thema, sondern auch ein Schritt zur Umsetzung eines proaktiven Datenschutzes in Unternehmen.

Ein starkes TPRM, inklusive sauberer Auftragsverarbeitungsverträge und gelebter Auditrechte, ist mein Schlüssel zu Sicherheit und Rechtssicherheit. Es geht um Vertrauen, um Nachvollziehbarkeit und um Verantwortung. Ich kann Sicherheitsaufgaben delegieren, aber keine Verantwortung.

Meine persönliche Einschätzung:

Unternehmen, die TPRM strategisch angehen, vermeiden nicht nur Bußgelder. Sie schaffen Transparenz, stärken ihre Partnerbeziehungen und zeigen, dass Datenschutz Teil ihrer Identität und Unternehmenskultur ist. Und das ist, gerade in Zeiten wachsender Cyberbedrohungen, ein echter Wettbewerbsvorteil.

 
 
Gastautor*innen Aufruf

Werde Gastautor*in: Du hast in einem bestimmten Bereich richtig Ahnung und möchtest dein Wissen teilen? Dann schreibe uns einfach an reviews-experten@omr.com und bring deine Expertise ein. Wir freuen uns auf spannende Einblicke direkt aus der Praxis.


Elisa Drescher
Autor*In
Elisa Drescher

Mag. a iur. Elisa Drescher ist Juristin, zertifizierte Datenschutzbeauftragte, geschäftsführende Gesellschafterin von SCALELINE Datenschutz. SCALELINE Datenschutz unterstützt Unternehmen aus dem gesamten DACH-Raum bei der Implementierung datenschutzkonformer KI-Lösungen und als externe Datenschutzbeauftragte. Elisa ist Speakering tätig und ist Mitgründerin von KI Kompetenz Training

Alle Artikel von Elisa Drescher

Im Artikel erwähnte Softwares

Item 1 of 5

Im Artikel erwähnte Software- oder Service-Kategorien

  • Datenschutz Management

    Datenschutz-Softwares sind Programme, um den Schutz von persönlichen Daten und digitale Privatsphäre zu gewährleisten. Diese Tools können auf verschiedene Arten arbeiten, zum Beispiel, indem...

Item 1 of 1

Ähnliche Artikel

Komm in die OMR Reviews Community & verpasse keine Neuigkeiten & Aktionen rund um die Software-Landschaft mehr.