Warum das Vertragsende ein unterschätztes DSGVO-Risiko ist

Im Arbeitsalltag jonglieren viele Verantwortliche eine Vielzahl an Aufgaben: Projekte, Meetings, operative Tätigkeiten und administrative Pflichten. In diesem Umfeld geraten Prozesse schnell in den Hintergrund, die auf den ersten Blick unscheinbar wirken – darunter auch der Moment, in dem Unternehmen eine Auftragsverarbeitung beenden.

Auftragsverarbeitungsverhältnisse werden häufig routiniert abgeschlossen, begleitet und schließlich beendet. Während der Fokus in der Praxis meist auf der Auswahl geeigneter Dienstleister, den vertraglichen Regelungen und der laufenden Kontrolle liegt, wird ein entscheidender Punkt oft unterschätzt: das, was nach dem Vertragsende passiert.

Gerade hier liegt jedoch ein wesentliches datenschutzrechtliches Risiko. Denn mit der Beendigung der Zusammenarbeit endet nicht automatisch die Verantwortung für personenbezogene Daten.

Was passiert mit personenbezogenen Daten nach Vertragsende?

Die DSGVO schafft hier eine klare rechtliche Grundlage. Nach Art. 28 Abs. 3 S. 2 lit. g) DSGVO ist der Auftragsverarbeiter verpflichtet, nach Abschluss der Verarbeitungsleistungen:

  • alle personenbezogenen Daten entweder zu löschen
  • oder an den Verantwortlichen zurückzugeben

Darüber hinaus müssen auch alle vorhandenen Kopien gelöscht werden, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Diese Verpflichtung ergibt sich nicht allein aus dem Vertrag, sondern auch aus zentralen Datenschutzgrundsätzen wie der Datenminimierung und der Speicherbegrenzung.

Verantwortung endet nicht mit dem Auftrag

Auf den ersten Blick scheint diese Pflicht eindeutig beim Dienstleister zu liegen. In der Praxis zeigt sich jedoch ein differenzierteres Bild: Auch nach Vertragsende bleibt der Verantwortliche in der Pflicht, insbesondere dann, wenn Unternehmen eine Auftragsverarbeitung beenden und davon ausgehen, dass alle datenschutzrechtlichen Anforderungen automatisch erfüllt werden.

Das bedeutet konkret:

  • Sicherstellungspflicht: Der Verantwortliche muss sicherstellen, dass die Daten tatsächlich gelöscht oder zurückgegeben werden
  • Überwachungspflicht: Ein Verlassen auf vertragliche Regelungen allein reicht nicht aus
  • Kontrollpflicht: Die Umsetzung muss aktiv überprüft werden

Kommt es zu einer unzulässigen weiteren Speicherung oder Nutzung personenbezogener Daten, kann auch der Verantwortliche haftbar gemacht werden.

Haftungsrisiko: Warum beide Parteien betroffen sind

Auch wenn der Auftragsverarbeiter gegen seine Löschpflicht verstößt, bedeutet das nicht automatisch eine Entlastung für den Verantwortlichen.

Nach Art. 82 DSGVO haften beide Parteien gegenüber den betroffenen Personen grundsätzlich als Gesamtschuldner. Das hat konkrete Folgen:

  • Betroffene können frei entscheiden, wen sie in Anspruch nehmen
  • In der Praxis wird häufig zunächst der Verantwortliche kontaktiert

Eine Entlastung ist nur möglich, wenn nachgewiesen werden kann, dass sämtliche Überwachungs- und Kontrollpflichten erfüllt wurden. Hier greift die Rechenschaftspflicht.

Typische Schwachstellen in der Praxis

In vielen Organisationen entstehen Risiken weniger durch Vorsatz als durch fehlende Struktur. Typische Schwachstellen sind:

  • Unklare oder ungenaue vertragliche Regelungen zur Löschung
  • Fehlende Überprüfung, ob Daten tatsächlich gelöscht wurden
  • Nicht eingeholte oder nicht dokumentierte Löschbestätigungen
  • Unklare Verantwortlichkeiten beim Vertragsende
  • Fehlende oder nicht etablierte Prozesse zur Beendigung der Auftragsverarbeitung

Das Risiko entsteht also häufig nicht durch einzelne Fehler, sondern durch Lücken im Gesamtsystem.

Löschung und Rückgabe aktiv kontrollieren

Damit die Beendigung von Auftragsverarbeitungen datenschutzkonform erfolgt, sind strukturierte Maßnahmen erforderlich – insbesondere dann, wenn Unternehmen eine Auftragsverarbeitung beenden und die Umsetzung nicht allein dem Dienstleister überlassen möchten.

Wichtige Schritte in der Praxis

  • Klare vertragliche Regelungen treffen (Organisationspflicht):
    Bereits zu Beginn sollte festgelegt werden, ob Daten gelöscht oder zurückgegeben werden und in welcher Form dies erfolgt.
  • Löschung aktiv einfordern (Nachweispflicht):
    Nach Vertragsende sollte eine schriftliche Bestätigung oder ein Löschprotokoll angefordert werden.
  • Dokumentation sicherstellen (Dokumentationspflicht):
    Alle Schritte sollten nachvollziehbar festgehalten werden, um der Rechenschaftspflicht gerecht zu werden.
  • Überprüfung einplanen (Sorgfaltspflicht):
    Bleibt eine Bestätigung aus oder bestehen Zweifel, sollte aktiv nachgefasst werden.
  • Verantwortlichkeiten definieren (Organisationspflicht):
    Zuständigkeiten für das Vertragsende müssen intern klar geregelt sein – ebenso auf Seiten des Auftragsverarbeiters.
  • Mitarbeitende sensibilisieren:
    Schulungen helfen, das Thema über den gesamten Lebenszyklus der Zusammenarbeit hinweg im Blick zu behalten.

Rückgabe statt Löschung – was zu beachten ist

Wird die Rückgabe der Daten gewählt, ist zu beachten:

Der Auftragsverarbeiter muss die personenbezogenen Daten vollständig herausgeben. Anschließend besteht weiterhin die Pflicht zur Löschung beim Dienstleister.

Ohne klare vertragliche Regelungen kann die Rückgabe zusätzlichen Aufwand verursachen und mit Kosten verbunden sein. Auch hier zeigt sich, wie wichtig klare Vereinbarungen bereits zu Beginn der Zusammenarbeit sind.

Fazit

Die Beendigung einer Auftragsverarbeitung ist kein rein formaler Schritt, sondern ein wesentlicher Bestandteil der Datenschutz-Compliance. Gerade dann, wenn Unternehmen eine Auftragsverarbeitung beenden, zeigt sich, wie entscheidend klare Prozesse, Kontrollen und Nachweise sind.

Das zentrale Risiko liegt nicht nur in der Verarbeitung selbst, sondern insbesondere in dem, was danach passiert. Fehlende Kontrollen, unklare Prozesse oder unzureichende Dokumentation können dazu führen, dass Verantwortliche trotz ausgelagerter Verarbeitung haftbar werden.

Deshalb gilt:

  • Denken Sie Datenschutz von Anfang bis zum Ende
  • Etablieren Sie klare Prozesse für das Vertragsende
  • Definieren Sie Zuständigkeiten
  • Kontrollieren Sie die Umsetzung der Löschpflichten aktiv
  • Lassen Sie sich Löschung oder Rückgabe nachweisen

So stellen Sie sicher, dass der Datenschutz nicht mit dem Vertragsende endet.

Sie sind mit Ihrer aktuellen Datenschutzkultur unzufrieden? Fordern Sie jetzt eine unverbindliche Beratung an!

Jetzt Angebot einholen

Immer Up-to-date?

Abonnieren Sie unseren Newsletter!


Brandaktuelle Entwicklungen und Insiderwissen aus den Bereichen Datenschutz, Informationssicherheit und Hinweisgeberschutz liefern wir Ihnen 1x monatlich frei Haus in Ihr Mail-Postfach.


Jetzt für den Newsletter eintragen:

Mit dem Klick auf ‚E-Mail Newsletter abonnieren‘ erklären Sie sich mit dem regelmäßigen Empfang unseres Newsletters mit Informationen zu Datenschutz-, Informationssicherheits- und Compliancethemen sowie mit dessen Analyse durch individuelle Messung, Speicherung und Auswertung von Öffnungsraten und der Klickraten in Empfängerprofilen zu Zwecken der Gestaltung künftiger Newsletter entsprechend den Interessen unserer Leser einverstanden. Die Einwilligung kann mit Wirkung für die Zukunft widerrufen werden. Ausführliche Hinweise erhalten Sie in unseren Datenschutzhinweisen.

Unser Angebot – passgenau für die Anforderungen in Ihrem Unternehmen


Was ist beim Thema Datenschutz und Informationssicherheit in Ihrem Unternehmen wirklich zu tun? Ob Sie Ihren Datenschutz selbst organisieren, vorhandene Strukturen optimieren möchten oder Ihr Datenschutzmanagement auf professionelle Beine stellen wollen – wir sind Ihr Partner!

Gerne prüfen wir Ihren Status quo und erstellen Ihnen daraufhin ein passgenaues Angebot, das die oben genannten Bausteine beinhalten kann.

Unsere Zusammenarbeit gestalten wir nach Ihren Wünschen vor Ort im Raum München oder remote in ganz Deutschland.


DSK360 GmbH
Alpenblickstr. 9
82386 Oberhausen

Nutzen Sie unser Kontaktformular:

Ich freue mich darauf, Sie persönlich kennenzulernen.
ZurückWeiter

Christian Schröder ist GDD Mitglied

Rechtliches

Impressum

Datenschutzhinweise

Grundsätze der Datenverarbeitung

Onlinemeetings mit Zoom

Digitaler Omnibus: Weniger Bürokratie oder mehr Eigenverantwortung?Digitaler Omnibus: In Richtung weniger Bürokratie oder mehr EigenverantwortungAV-Vertrag beendet – Datenschutz auch?